Pogrzebał w repozytorium Starbucksa i znalazł tam ~15 000 PLN

Tytułowe pieniądze to nagroda w bug bounty, przyznana za znalezienie klucza API w jednym publicznych repozytoriów kodu Starbucksa:

vinothkumar discovered a publicly available Github repository containing a Starbucks JumpCloud API Key which provided access to internal system information.

Co można było uzyskać posiadając klucz do JumpCloud-a? Jeśli ktoś nie zna tego produktu, niech zobaczy krótki opis:

Auth and Management for SSO, LDAP, RADIUS, Mac, Windows, Linux, and More

Wygląda jak cenne repozytorium danych? Zgadza się, autor znaleziska zlokalizował w ramach PoC dane dostępowe do jednego z kont AWS. Dodatkowo pokazał, że można wykonywać polecenia w systemie operacyjnym korzystając z odpowiedniej funkcji API.

Wnioski? Uważajcie żeby Wasze API nie było tylnymi drzwiami do systemu, podczas gdy główne drzwi są uzbrojone po zęby (hasła, 2FA, monitoring, analiza nietypowych zachowań użytkowników, …)

–ms