星巴克遭遇資安危機!由於員工疏失,星巴克內部網站的 API 金鑰被放在 GitHub 公開資料夾,若被有心人士盜用,將能更動內部系統的授權使用者,或接管星巴克的 AWS 帳號。

慶幸的是,該金鑰被印度的網路安全研究員 Vinoth Kumar 發現,並透過 HackerOne 即時通報,讓星巴克及時註銷該金鑰,化解資安危機。

星巴克意外將 API 金鑰放在 GitHub 公開資料夾

根據《CISO MAG》等外媒報導,星巴克員工意外將 API 金鑰放在 GitHub 公開資料夾,沒有密碼保護,給了駭客入侵系統的機會。《CISO MAG》表示,駭客可藉由該金鑰對系統下令,移除內部使用者的權限,並掌控 AWS 帳號。

而 Vinoth Kumar 去年 10 月,意外在 GitHub 發現一個公開資料夾,裡面有星巴克 JumpCloud 平台的 API 金鑰。發現金鑰後,Vinoth Kumar 立即透過 HackerOne 通報;星巴克接到通報後,在 4 天之內移除了資料夾,並註銷該 API 金鑰。

若取得金鑰,駭客將能接管 AWS 帳號、執行命令與修改使用者

經過調查,星巴克將此漏洞列為「重大資訊洩漏」(critical),因為它讓駭客可直接入侵 JumpCloud。 JumpCloud 是一個管理平台,提供使用者管理、Web App 單一簽入(single sign-on,SSO)存取控管,以及 LDAP(Lightweight Directory Access Protocol)服務。若遭入侵,駭客就能接管 AWS 帳號、執行命令、修改系統使用者等等。

為了感謝 Vinoth Kumar 的通報,星巴克頒發了 4,000 美元(約新台幣 12.2 萬)的獎金給他。根據《Bleeping Computer》報導,這是星巴克頒發過的最高獎金,過去星巴克頒發的系統漏洞通報獎金約在 250 到 375 美元之間(約新台幣 7,600 到 11,400 之間)。

雖然事件平安落幕了,但 IT 人員真的要小心,如果真讓駭客入侵,到時候修系統會修到瘋掉阿!

參考資料來源:
1. 《CISO MAG》:〈Indian Researcher Finds Starbucks API Key Exposed Online
2. 《Bleeping Computer》:〈Starbucks Devs Leave API Key in GitHub Public Repo
3. 《iThome》:〈星巴克因員工重大疏失,導致內部系統API金鑰置於GitHub公開資料夾
(本文提供合作夥伴轉載。首圖來源:pxfuel CC Licensed

延伸閱讀

數位轉型讓銀行的「風險」也轉型了!比起企業違約率,網路資安的風險更大
【2019 未來科技展】量子電腦破解公鑰加密倒數 15 年!台灣企業如何 100% 備戰資安危機?
趨勢科技點出 2020 年三大資安重點!AI 讓駭客竊取企業機密只要「一封 Email」