0

  • Votre panier est vide.

  • LOGIN

Starbucks a exposé une clé API dans le dépôt public de GitHub

Certains articles de veille peuvent faire l'objet de traduction automatique.

Récemment, un chercheur a découvert une clé API de Starbucks exposée dans un repo GitHub public. Si un hacker malveillant avait accédé à la clé, il aurait pu changer les utilisateurs autorisés et accéder aux données internes.

Starbucks expose la clé API

Le chasseur d’insectes Vinoth Kumar a découvert une vulnérabilité affectant les systèmes Starbucks. Plus précisément, il a trouvé une clé d’API exposée dans un dépôt public GitHub qui permettait d’accéder à l’API JumpCloud de Starbucks.

JumpCloud est un Active Directory alternatif de Azure AD. Il fournit la gestion des utilisateurs, le service LDAP (Lightweight Directory Access Protocol), le SSO (Single Sign-On) des applications web et bien plus encore.

Selon M. Kumar, toute personne possédant la clé API pourrait avoir accès aux données internes des systèmes Starbucks. Comme l’explique le chercheur, l’exploitation du bug pourrait permettre à un attaquant de le faire,

-Exécuter des commandes sur les systèmes https://docs.jumpcloud.com/1.0/commands/create-a-command
-Ajouter/supprimer des utilisateurs qui ont accès aux systèmes internes
-AWS Prise de contrôle du compte

Il s’agissait donc d’une question cruciale qui exigeait une attention immédiate de la part des fournisseurs.

Starbucks reçoit une prime de 4 000

Kumar a trouvé la clé API exposée en octobre 2019. Il a ensuite procédé à une divulgation responsable pour signaler le bogue sur HackerOne. Quelques jours après son rapportIl a remarqué que le problème n’existe plus.

Cette question semble être réglée. La mise en pension a été supprimée et la clé API a été révoquée.

Néanmoins, Starbucks a continué à travailler sur la question pour assurer une résolution fonctionnelle de la faille avant de la déclarer corrigée. Ils ont donc pris plus de temps et ont finalement reconnu la solution en novembre 2019.

Nous avons déterminé que ce rapport démontre une « divulgation significative d’informations » … Pour l’instant, nous sommes satisfaits de la résolution du problème et sommes prêts à passer à la fermeture.

En plus de régler l’affaire, ils ont également accordé une prime de 4 000 dollars à Vinoth Kumar pour avoir signalé cette faille.

En décembreHackerOne a également attribué 20 000 dollars à un chasseur de bugs comme prime pour avoir signalé un bug dans la plateforme. L’exploitation de la vulnérabilité pourrait permettre à un attaquant d’accéder à des rapports de bugs privés sur HackerOne.

Voir aussi :

décembre 16, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)