Key API của Starbucks bất ngờ bị tiết lộ công khai trên Github

Các nhà phát triển tại Starbucks vừa mắc một sai lầm nghiêm trọng khi để lộ công khai một key API, có thể bị hacker sử dụng để truy cập vào các hệ thống nội bộ của công ty này, cũng như thao túng danh sách người dùng được ủy quyền.

Sở dĩ vụ việc được đánh giá vô cùng nghiêm trọng là bởi key này có thể cho phép truy cập không giới hạn vào API JumpCloud của Starbucks, cũng như kiểm soát tài khoản Amazon Web Services (AWS), thực thi các lệnh trên hệ thống và thêm hoặc xóa tài khoản có quyền truy cập vào hệ thống nội bộ.

Toàn bộ vụ việc trên được phát hiện đầu tiên bởi Vinoth Kumar, khi nhà nghiên cứu bảo mật tự do này đã tìm thấy key API của Starbucks trong 1 kho lưu trữ GitHub có thể được truy cập công khai, đồng thời báo cáo lại chi tiết vụ việc thông qua nền tảng điều phối lỗ hổng và thưởng lỗi bảo mật của HackerOne.

Website Starbucks

JumpCloud là một nền tảng quản lý Active Directory được phát triển để thay thế cho Azure AD. Lợi thế của JumpCloud là cung cấp khả năng quản lý người dùng, kiểm soát truy cập đăng nhập một lần (SSO) và dịch vụ Lightweight Directory Access (LDAP) cực kỳ thông suốt và liền mạch.

Vinoth Kumar đã báo cáo vụ việc vào ngày 17/10 vừa qua, và cho Starbucks 3 tuần để xác nhận sự việc. Sau thời hạn 3 tuần, thông tin về lỗ hổng sẽ được tiết lộ công khai. Phía Starbucks sau đó đã tiến hành phân tích và xác định đây là một lỗ hổng nghiêm trọng trong hệ thống nội bộ, đồng thời cho biết Vinoth Kumar đủ điều kiện để nhận số tiền thưởng phát hiện lỗi bảo mật trị giá 4.000 USD.

Cách thức giải quyết sự cố của Starbucks cũng đã được đánh giá cao khi đề nghị GitHub xóa kho lưu trữ và thu hồi key API bị lộ vào ngày 21/10 - 4 ngày sau khi sự việc được báo cáo. Sở dĩ công ty mất nhiều thời gian hơn để đưa ra thông cáo báo chí chính thức vì họ cần "đảm bảo hiểu rõ mức độ nghiêm trọng của vấn đề và tất cả các bước khắc phục thích hợp đã được thực hiện".

Thứ Năm, 16/01/2020 11:25
51 👨 424
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng