因星巴克開發人員的一個失誤,某個API的密鑰被暴露在GitHub上,攻擊者可藉此訪問內部系統並改動授權用戶列表。
該漏洞的嚴重級別被設置為Critical,因為該密鑰可讓攻擊者訪問星巴克的JumpCloud API。
嚴重影響
漏洞獵人Vinoth Kumar在一個公開的GitHub存儲庫中發現了這個密鑰,並通過HackerOne漏洞協調和獎勵平台在通過審核的情況下公開了它。
JumpCloud是一個Active Directory(活動目錄)管理平台,被宣傳為Azure AD的替代品。它為客戶提供用戶管理、Web應用程式單點登錄(SSO)訪問控制和輕量級目錄訪問協議(LDAP)服務。
Kumar於10月17日報告了這一漏洞,而在三周後,星巴克作出回應,稱該漏洞涉及「大量敏感信息」,可獲得漏洞獎勵。
星巴克很快就解決了這個問題,Kumar也在10月21日表示,該存儲庫已被刪除,API密鑰也被更換。
此次處理漏洞星巴克公司花了較長的時間,這是因為他們需要「確保正確了解問題的嚴重性,並採取所有可採取的補救措施」。
除了告訴星巴克是從哪個GitHub存儲庫中找到包含API密鑰的文件外,Kumar還提供了相關PoC代碼,演示攻擊者可以使用該密鑰做什麼破壞。
除了查詢內部系統和用戶之外,攻擊者還可以控制Amazon Web Services(AWS)帳戶,在目標系統上執行命令,添加或刪除訪問內部系統的用戶等。
支付賞金
在和星巴克就補救措施進行商討後,研究人員獲得了4000美元的賞金,這可以說是星巴克重大漏洞的最高獎勵了。一般來說,星巴克漏洞的賞金在250美元到375美元之間。
自2016年啟動漏洞獎勵計劃以來,該公司已經處理了834起漏洞報告,光在過去三個月里就處理了369起報告,總共發放了4萬美元獎勵。
上一個和星巴克有關的重大漏洞是子域名接管缺陷。某一個子域指向了一個已被遺棄的Azure雲主機。星巴克為此支付了2000美元獎勵。
作者 | iso60001
來源 | https://nosec.org/home/detail/3730.html