近日,据外国媒体报道,一漏洞赏金猎人在公共GitHub存储库中发现星巴克的一个API密钥被暴露,并通过HackerOne漏洞赏金平台报告了该漏洞,获得了4000美元的赏金,这是星巴克针对严重漏洞所给予的最高奖励。
据了解,该漏洞是由星巴克的开发团队 Starbucks left 发现的。研究人员表示,通过该漏洞,攻击者可以通过API密钥来访问公司内部系统,并且可以直接在系统上执行命令,操纵授权的会员用户列表。
从研究人员公布在HackerOne上的报告来看,在公共存储库中发现的星巴 Jumbcloud API密钥为:
据悉,研究人员早在今年10月17日就向星巴克报告了此问题,并提供了该问题的概念验证(PoC)代码,演示了黑客如何通过该漏洞入侵系统,得到用户信息,控制Amazon Web Services(AWS)帐户以及在系统上执行命令。随后研究人员于10月21日通过删除API密钥解决了此问题,并于近日修复了该漏洞,相关问题已经得到解决。
星巴克在全球范围内已经有近21300间分店,遍布北美、南美洲、欧洲、中东及太平洋区,在全球拥有庞大的会员数量。所以,这次漏洞的修补可以说帮星巴克避免了一次有可能发生的严重用户信息泄露和后台网络攻击事件!
本文来自投稿,不代表本人立场,如若转载,请注明出处:http://www.souzhinan.com/kj/274100.html
赞 (140)
打赏
2019年12月前端工作实战整理
« 上一篇2020-01-04 18:02:39
国产OLED屏幕杀入iPhone供应链,中韩面板大战重燃战火
下一篇 »2020-01-04 18:17:31