星巴克API密钥被曝泄露

发表于:2020-1-06 09:24

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:佚名    来源:E安全

分享:
  近日,据外国媒体报道,一漏洞赏金猎人在公共GitHub存储库中发现星巴克的一个API密钥被暴露,并通过HackerOne漏洞赏金平台报告了该漏洞,获得了4000美元的赏金,这是星巴克针对严重漏洞所给予的最高奖励。
  据了解,该漏洞是由星巴克的开发团队 Starbucks left 发现的。研究人员表示,通过该漏洞,攻击者可以通过API密钥来访问公司内部系统,并且可以直接在系统上执行命令,操纵授权的会员用户列表。
  
  从研究人员公布在HackerOne上的报告来看,在公共存储库中发现的星巴 Jumbcloud API密钥为:
  据悉,研究人员早在今年10月17日就向星巴克报告了此问题,并提供了该问题的概念验证(PoC)代码,演示了黑客如何通过该漏洞入侵系统,得到用户信息,控制Amazon Web Services(AWS)帐户以及在系统上执行命令。随后研究人员于10月21日通过删除API密钥解决了此问题,并于近日修复了该漏洞,相关问题已经得到解决。
  星巴克在全球范围内已经有近21300间分店,遍布北美、南美洲、欧洲、中东及太平洋区,在全球拥有庞大的会员数量。所以,这次漏洞的修补可以说帮星巴克避免了一次有可能发生的严重用户信息泄露和后台网络攻击事件!

       本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号