聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

我在搜素 GitHub 时,意外发现一个包含星巴克 Jumbcloud API 密钥的一个公开库。

公开库:https://github.com/xxxx/Project

文件:

https://github.com/xxxx/Project/blob/0d56bb910923da2fbee95971778923f734a25f68/getSystemUsers.go

Req.Header.Add (“x-api-key”,”xxxxx”)

该漏洞被评为严重等级,因为它可导致任何人在系统上执行命令、增加/删除能够访问内部系统的用户以及接管AWS 账户。

严重影响

漏洞猎人 Vinoth Kumar 发现了该漏洞并负责任地通过 HackerOne 漏洞奖励平台告知星巴克。

JumpCoud是被视作Azure AD 替代品的活动目录管理平台,它提供用户管理、web单点登录访问控制以及轻量级目录访问协议(LDAP) 服务。

10月17日,Kumar 将问题告知星巴克,近3周后星巴克回应称该漏洞展示了“重大信息泄漏”问题,因此可获得漏洞奖励。10月21日,Kumar 注意到该公开库已删除,而 API 密钥已被撤销。星巴克表示,需要“确保理解该问题的严重程序,并餐区所有正确的缓解措施”,因此回应速度比较缓慢。

够买几杯星巴克?

星巴克采取修复方案后,向 Kumar 支付了4000美元的奖励金,而这是星巴克规定的严重漏洞能够获得的最高奖励金。星巴克为多数漏洞支付的奖励金介于250美元至375美元之间。

自2016年推出漏洞奖励计划以来,星巴克共解决了834份漏洞报告提出的问题,其中369个漏洞是在近三个月内报告的。星巴克为此共颁发4万美元的奖励金。

今年星巴克收到的另外一个严重漏洞可被用于控制公司子域名。问题在于该子域名指向已被摒弃的一个Azure 云主机。星巴克为此颁发2000美元的奖励。

推荐阅读

看我如何在星巴克企业数据库找到影响百万用户的SQL注入漏洞并赢得最高赏金

奇安信代码安全实验室安全类岗位火热招聘~

原文链接

https://hackerone.com/reports/716292

https://www.bleepingcomputer.com/news/security/starbucks-devs-leave-api-key-in-github-public-repo/

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

点个“在看”,bounty 多多~

这个漏洞能换几杯星巴克?在线等,挺急的相关推荐

  1. 在线点餐微信小程序插件 小程序一键接入肯德基麦当劳星巴克在线点餐

    聚推客联盟-在线点餐插件 一.插件介绍 该插件已支持肯德基.麦当劳.星巴克.必胜客.奈雪在线点餐.用户享受最低5折起点餐,接入方享受 10% 点餐返现,返现由聚推客联盟结算. 二.添加插件 首先点击该 ...

  2. 一杯星巴克的时间,Python居然帮我完成了5个小时的工作量!

    上周末,之前参加活动认识的朋友小晶突然找我约饭,她告诉我她想辞职了. 小晶在深圳一家电商公司做了2年的市场运营,为了更好的完成业绩,每天都赶着最后一班地铁回家. 虽然她才毕业2年,不过算上加班时长,我 ...

  3. “给阿姨倒杯卡布奇诺”广发卡分期积分带你免费畅饮星巴克!

    "给阿姨倒杯卡布奇诺"广发卡分期积分带你免费畅饮星巴克! 如果你在星巴克服务台前,多停留一会,你会发现,人们点单最多的一般都是 拿铁和卡布奇诺.而其中,点拿铁大多数都为男性,而女性 ...

  4. 如何在星巴克点一杯好喝的咖啡

    不知道你有没有耳闻,星巴克有一份神秘的隐藏菜单,它不在墙上也不在网上,就算有幸知道的小伙伴在中国可能也从未点单成功过.星巴克的隐藏菜单,的确存在,不过什么薄荷糖浆,奇奇怪怪的配料都是没有的,常规的只有 ...

  5. 星巴克产品哲学折射出的8个人性欲望

    引子:这篇是我的「读书会」(可以回复「读书会」了解详情)第五周的一份优秀作业,当周的话题是关于需求的深挖,从观点.行为,到目的,到动机.价值观,徐同学是做品牌出身,看来是没少喝星巴克. 1971年成立 ...

  6. 双11肯德基星巴克在饿了么各卖出2亿元

    11月12日消息,双11进入数据整理阶段,饿了么数据显示,11月1日至11月11日期间,肯德基.星巴克.麦当劳.华莱士这四家餐饮品牌交易额都成功突破亿元大关.其中,去年交易额破亿的肯德基和星巴克今年更 ...

  7. 数据分析:星巴克店铺分布有何规律?

             人工智能大数据与深度学习  公众号: weic2c 在你的身边,星巴克的身影大概越来越多吧.据资料表明,从2011年到2015年,星巴克在华新开了超过1300家店,门店总数达到181 ...

  8. 到底谁才能击败星巴克?|【常垒·常识】

    常垒·观点 我与K先生面见于上周三的一个下午.K先生目前专注于消费和零售的顾问,洞见深刻. 目前中国的零售消费(有品牌露出),具备产业升级的机会: 1. 各类VC投资了一堆SaaS,尽管营收不一定好, ...

  9. 天马行空,用星巴克指数分析长沙地产发展

    毕竟学术上的各类指标枯燥无味,脑洞打开,作者自己动手制作一个星巴克指数分析长沙地产行情,趣味性多过准确性,读者朋友看完乐一乐即可. 关键字 星巴克指数 长沙 地产发展 长沙辖区 价值投资 序言 关于星 ...

最新文章

  1. jQuery中的closest()和parents()的差别
  2. wust 1599弗洛伊德
  3. mysql导出停机_MySQL自动停机的问题处理实战记录
  4. 科目三场外考试易出错的环节
  5. java指定存入arraylist值_Java高效打印出0000-9999之间所有的值存到arraylist集合中
  6. Web Storage 与cookies
  7. 使用树莓派开启HomeKit智能家居系统 篇一:树莓派系统安装与配置
  8. 鸿蒙安卓字体,鸿蒙中如何自定义字体文件
  9. 计算机考研数学考一还是二,考研我不知道自己考数一还是数学二
  10. 剑指offeⅤ(Java 持续更新...)
  11. python2代码转换python3(2018新)
  12. org.springframework.beans.factory.NoSuchBeanDefinitionException: No bean named 'dataSource' is defin
  13. 迪拜要破产 经济危机第二波来啦
  14. iOS项目中用到的一些第三方库
  15. iphone6装了卡却显示无服务器,苹果6通病——插卡无服务维修思路和教程
  16. vue 或 js 使用谷歌翻译实现国际化
  17. 排除计算机硬件故障,如何快速准确地排除电脑硬件故障
  18. 《TCP/IP 网络编程》笔记
  19. 一篇文章帮你了解LoRaWAN特性【转自微信公众号 智联网事】
  20. 大数据之Redis:悲观锁和乐观锁

热门文章

  1. 深入阅读Mina源码(3) —— Mina之IOAdapter(二)
  2. 如何发布第一个属于自己的npm包
  3. 如何针对业务设计架构?——QCon热点专题前瞻
  4. JAVA Metrics 度量工具使用介绍1
  5. 【spring】在servlet中注入spring的bean,servlet容器和spring容器
  6. python ---ConfigParser
  7. URAL 1664 Pipeline Transportation
  8. 判定浏览器是否支持原生透明
  9. 统计字符串中个字符的个数
  10. 蓄电池内阻测试仪分析软件,蓄电池内阻测试仪(GCBT-8610)