Разработчики Starbucks оставили случайно ключ API в публичном репозитории GitHub
Одна ошибка от разработчиков из Starbucks оставила незащищенный ключ API, который могли бы использовать злоумышленник для доступа к внутренним системам и манипулирования списком авторизованных пользователей.
Уровень серьезности уязвимости был установлен как критический, поскольку ключ позволял доступ к API Starbucks JumpCloud.
Серьезность ситуации
Охотник за уязвимостями систем, Винот Кумар (Vinoth Kumar) нашел ключ в общедоступном репозитории GitHub платформы вместе с ребятами из компании HackerOne — это компания, охотник за уязвимости, находятся в Сан-Франциско, в штате Калифорния. Компания создала bug bounty платформу, соединяющую бизнес и исследователей безопасности.
Судя по данный API ключ можно было использовать для JumpCloud — это платформа управления Active Directory, объявленная как альтернатива Azure AD. Он обеспечивает управление пользователями, управление доступом с использованием единого входа в веб-приложение и службу протокола LDAP.
Кумар сообщил о проблеме и оплошности 17 октября, а спустя почти три недели Starbucks ответила, что он продемонстрировал и предотвратил утечку очень важных данных и заслуживает награду.
Starbucks позаботился о решении проблемы гораздо раньше, хотя, как отметил Кумар 21 октября, хранилище было уже удалено, а ключ API был отозван.
Компании потребовалось больше времени, чтобы ответить, потому что они должны были убедиться в серьезности проблемы и что все соответствующие меры по исправлению этой оплошности были устранены и исправлены.
По мимо индифицирование проблемы из хранилища GitHub и указанием в нем файла, содержащего ключ API, Кумар также предоставил код проверки так называемой концепции (PoC-Proof-of-Concept), демонстрирующий, что злоумышленник может сделать с ключом API и как его использовать для кражи информации.
Помимо списка систем и пользователей компании, злоумышленники могли также контролировать учетную запись веб-служб Amazon (AWS), выполнять команды в системах компании, а также добавлять или удалять пользователей с различным доступом к внутренним системам.
Поощрение за найденую уязвимость
Как только Starbucks полностью устранила и предприняла все меры по исправлению, было принято решение заплатить Винот Кумар (Vinoth Kumar) вознаграждение в размере 4000$ (долларов) за раскрытие и утечки уязвимости. Это на сегодняшний день является максимальной наградой за критические уязвимости. Большинство премий от Starbucks составляют от 250 до 375 долларов.
Компания зафиксировала 834 проблемы с момента запуска проекта баунти-баг (bug bounty program) в 2016 году, и 369 из них были зарегистрированы за последние три месяца. На них Starbucks потратила 40 000 долларов.
Еще один существенный баг о которой сообщили Starbucks в этом году, эта критическая уязвимость с помощью которой можно получить контроль над поддоменом компании. Проблема была в том, что субдомен указывал на хост который был оставленным в облаке Azure. Starbucks заплатил 2000 долларов за предоставленный отчет о проблеме.
