Starbucks geliştiricileri yaptığı bir hata sonucu, saldırgan tarafından dahili sistemlere erişmek ve yetkili kullanıcıların listesini değiştirmek için kullanılabilecek bir API anahtarını GitHub’a koydu.
Güvenlik araştırmacısı Vinoth Kumar, anahtarı halka açık bir GitHub deposunda buldu ve HackerOne platformu aracılığı ile açıkladı. Bu anahtar JumpCloud API anahtarıydı.
JumpCloud, Azure AD alternatifi bir Active Directory yönetim platformudur. Kullanıcı yönetimi, Web uygulaması tek oturum açma(SSO) erişim kontrolü ve Basit Dizin Erişim Protokolü(LDAP) hizmeti sağlar.
Vinoth Kumar, saldırganın API anahtarı ile neler yapabileceğini gösteren kavram kanıtı(PoC) kodu da sağladı. Sistem ve kullanıcıları listelemenin yanı sıra, Amazon Web Servisi(AWS) hesabının kontrolü ele geçirilebilir, saldırgan sistemlerde komut çalıştırabilir ve dahili sistemlere erişimi olan kullanıcıları ekleyebilir veya kaldırabilir.
Ayrıca Starbucks platform üzerinden Kumar’a sorumlu davranışından dolayı 4 bin dolar para ödülü verdi.
İlgili HackerOne raporuna buradan ulaşabilirsiniz.
Kaynak
