Tag: starbucks

Ciekawe znalezisko w kontekście bezpieczeństwa API. Nieco zniecierpliwiony brakiem znalezisk w innym programie bug bounty, badacz postanowił sobie zrobić przerwę, a że były urodziny jego przyjaciela postanowił zakupić mu praktyczny prezent – kartę prezentową Starbucksa. Zakup zakupem, ale można trochę pogrzebać w żądaniach do API. Np. taki endpoint zwraca szczegóły…

Tytułowe pieniądze to nagroda w bug bounty, przyznana za znalezienie klucza API w jednym publicznych repozytoriów kodu Starbucksa: vinothkumar discovered a publicly available Github repository containing a Starbucks JumpCloud API Key which provided access to internal system information. Co można było uzyskać posiadając klucz do JumpCloud-a? Jeśli ktoś nie zna…