星巴克將內部系統的 API 金鑰,意外放到 GitHub 的公開資料夾

星巴克遭遇資安危機!由於員工疏失,星巴克內部網站的 API 金鑰被放在 GitHub 公開資料夾,若被有心人士盜用,將能更動內部系統的授權使用者,或接管星巴克的 AWS 帳號。

慶幸的是,該金鑰被印度的網路安全研究員 Vinoth Kumar 發現,並透過 HackerOne 即時通報,讓星巴克及時註銷該金鑰,化解資安危機。

星巴克意外將 API 金鑰放在 GitHub 公開資料夾

根據《CISO MAG》等外媒報導,星巴克員工意外將 API 金鑰放在 GitHub 公開資料夾,沒有密碼保護,給了駭客入侵系統的機會。《CISO MAG》表示,駭客可藉由該金鑰對系統下令,移除內部使用者的權限,並掌控 AWS 帳號。

而 Vinoth Kumar 去年 10 月,意外在 GitHub 發現一個公開資料夾,裡面有星巴克 JumpCloud 平台的 API 金鑰。發現金鑰後,Vinoth Kumar 立即透過 HackerOne 通報;星巴克接到通報後,在 4 天之內移除了資料夾,並註銷該 API 金鑰。

若取得金鑰,駭客將能接管 AWS 帳號、執行命令與修改使用者

經過調查,星巴克將此漏洞列為「重大資訊洩漏」(critical),因為它讓駭客可直接入侵 JumpCloud。 JumpCloud 是一個管理平台,提供使用者管理、Web App 單一簽入(single sign-on,SSO)存取控管,以及 LDAP(Lightweight Directory Access Protocol)服務。若遭入侵,駭客就能接管 AWS 帳號、執行命令、修改系統使用者等等。

為了感謝 Vinoth Kumar 的通報,星巴克頒發了 4,000 美元(約新台幣 12.2 萬)的獎金給他。根據《Bleeping Computer》報導,這是星巴克頒發過的最高獎金,過去星巴克頒發的系統漏洞通報獎金約在 250 到 375 美元之間(約新台幣 7,600 到 11,400 之間)。

雖然事件平安落幕了,但 IT 人員真的要小心,如果真讓駭客入侵,到時候修系統會修到瘋掉阿!

參考資料來源:
1.《CISO MAG》:〈Indian Researcher Finds Starbucks API Key Exposed Online
2.《Bleeping Computer》:〈Starbucks Devs Leave API Key in GitHub Public Repo
3.《iThome》:〈 星巴克因員工重大疏失,導致內部系統 API 金鑰置於 GitHub 公開資料夾
(本文提供合作夥伴轉載。首圖來源:pxfuel CC Licensed

延伸閱讀

數位轉型讓銀行的「風險」也轉型了!比起企業違約率,網路資安的風險更大
【2019 未來科技展】量子電腦破解公鑰加密倒數 15 年!台灣企業如何 100% 備戰資安危機?
趨勢科技點出 2020 年三大資安重點!AI 讓駭客竊取企業機密只要「一封 Email」


微軟精華 AI 實踐課程來啦!

超過 100 堂專業課程、350 位原廠專家技術交流

2/17、18 與微軟技術夥伴面對面,破解最新、最前沿的 AI 轉型解決方案

免費報名

點關鍵字看更多相關文章: