Kompleksowe szkolenie: wprowadzenie do bezpieczeństwa IT od sekuraka z rabatem 50%. Jedyna taka okazja w tym roku. Nie przegap! :-)

Zarobił ~200 000 PLN, znajdując „niewinną” informację w publicznej appce…

27 lipca 2021, 18:22 | W biegu | komentarze 2

Zgłaszający tego buga otrzymał od Shopify grubą nagrodę w wysokości $50 000. W dużym skrócie, badacz badał publicznie dostępną appkę dla MacOS, w której znalazł zaszyty klucz API do GitHuba. Klucz z kolei dał pełen dostęp do (prywatnych i publicznych) repozytoriów kodu należących do Shopify. W oryginale opis wygląda tak:

I was reviewing an Electron app made by one of Shopify employees (at the time I didn’t know that Shopify was in any way involved), after extracting the app.asar file using npx asar extract path/to/app.asar extracted/path I found a .env file, initially I skipped it because I thought it just contained some app configuration stuff but after taking a look at the source it was clear that the app never loaded it. It was probably a leftover of the release building process. That .env contained a GH_TOKEN variable, which is (as you can probably guess) a GitHub token, I tried using it to authenticate against GitHub REST API (…)

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Flash

    A gdyby sie okazalo ze juz wczesniej ktos to odkryl np. ruski… Kolejny hack na miare solarwinds.

    Odpowiedz
    • Michał

      jednak nie porównujmy systemu, który instalujemy w przedsiębiorstwie i dajemy wysokie uprawnienia do apki zakupowej ;)

      Odpowiedz

Odpowiedz