Haberler

Starbucks Geliştiricilerinden Büyük Hata!

Starbucks geliştiricileri yaptığı bir hata sonucu, saldırgan tarafından dahili sistemlere erişmek ve yetkili kullanıcıların listesini değiştirmek için kullanılabilecek bir API anahtarını GitHub’a koydu.

Güvenlik araştırmacısı Vinoth Kumar, anahtarı halka açık bir GitHub deposunda buldu ve HackerOne platformu aracılığı ile açıkladı. Bu anahtar JumpCloud API anahtarıydı.

JumpCloud, Azure AD alternatifi bir Active Directory yönetim platformudur. Kullanıcı yönetimi, Web uygulaması tek oturum açma(SSO) erişim kontrolü ve Basit Dizin Erişim Protokolü(LDAP) hizmeti sağlar.

Vinoth Kumar, saldırganın API anahtarı ile neler yapabileceğini gösteren kavram kanıtı(PoC) kodu da sağladı. Sistem ve kullanıcıları listelemenin yanı sıra, Amazon Web Servisi(AWS) hesabının kontrolü ele geçirilebilir, saldırgan sistemlerde komut çalıştırabilir ve dahili sistemlere erişimi olan kullanıcıları ekleyebilir veya kaldırabilir.

Ayrıca Starbucks platform üzerinden Kumar’a sorumlu davranışından dolayı 4 bin dolar para ödülü verdi.

İlgili HackerOne raporuna buradan ulaşabilirsiniz.

Kaynak

Link

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

Başa dön tuşu

Reklam Engelleyici Algılandı

ÇözümPark Bilişim Portalı gönüllü bir organizasyon olup tek gelir kaynağı reklamlardır. Bu nedenle siteyi gezerken lütfen reklam engelleme eklentinizi kapatın veya Çözümpark web sitesi için izin tanımı yapın. Anlayışınız için teşekkürler.