聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
我在搜素 GitHub 时,意外发现一个包含星巴克 Jumbcloud API 密钥的一个公开库。
公开库:https://github.com/xxxx/Project
文件:
https://github.com/xxxx/Project/blob/0d56bb910923da2fbee95971778923f734a25f68/getSystemUsers.go
Req.Header.Add (“x-api-key”,”xxxxx”)
该漏洞被评为严重等级,因为它可导致任何人在系统上执行命令、增加/删除能够访问内部系统的用户以及接管AWS 账户。
严重影响
漏洞猎人 Vinoth Kumar 发现了该漏洞并负责任地通过 HackerOne 漏洞奖励平台告知星巴克。
JumpCoud是被视作Azure AD 替代品的活动目录管理平台,它提供用户管理、web单点登录访问控制以及轻量级目录访问协议(LDAP) 服务。
10月17日,Kumar 将问题告知星巴克,近3周后星巴克回应称该漏洞展示了“重大信息泄漏”问题,因此可获得漏洞奖励。10月21日,Kumar 注意到该公开库已删除,而 API 密钥已被撤销。星巴克表示,需要“确保理解该问题的严重程序,并餐区所有正确的缓解措施”,因此回应速度比较缓慢。
够买几杯星巴克?
星巴克采取修复方案后,向 Kumar 支付了4000美元的奖励金,而这是星巴克规定的严重漏洞能够获得的最高奖励金。星巴克为多数漏洞支付的奖励金介于250美元至375美元之间。
自2016年推出漏洞奖励计划以来,星巴克共解决了834份漏洞报告提出的问题,其中369个漏洞是在近三个月内报告的。星巴克为此共颁发4万美元的奖励金。
今年星巴克收到的另外一个严重漏洞可被用于控制公司子域名。问题在于该子域名指向已被摒弃的一个Azure 云主机。星巴克为此颁发2000美元的奖励。
推荐阅读
看我如何在星巴克企业数据库找到影响百万用户的SQL注入漏洞并赢得最高赏金
原文链接
https://hackerone.com/reports/716292
https://www.bleepingcomputer.com/news/security/starbucks-devs-leave-api-key-in-github-public-repo/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个“在看”,bounty 多多~
646
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
