API-sleutels Starbucks uitgelekt via GitHub

De API-sleutels van Starbucks-applicaties zijn enige tijd per ongeluk online gepubliceerd op GitHub. Met behulp van deze API-sleutels kunnen kwaadwillenden toegang verkrijgen tot interne systemen van de koffieketen.

Het lek is ontdekt door Vinoth Kumar, die in de GitHub-repository van Starbucks op hardcoded API-sleutels voor Starbucks-applicaties stuitte. De sleutels konden hierdoor eenvoudig uit de code op GitHub worden gehaald.

JumpCloud

Het gaat om API-sleutels die toegang geven tot JumpCloud, een Active Directory-platform dat Starbucks gebruikt voor single sign-on. Kumar meldt dat aanvallers met behulp van de API-sleutels onder meer nieuwe rollen konden toekennen aan gebruikers en het Amazon Web Service-account van Starbucks konden overnemen.

Het lek is gemeld via het bug bounty-platform HackerOne aan Starbucks. Het lek wordt beoordeeld als kritiek. Kumar krijgt een bedrag van 4.000 dollar voor het melden van het lek.