Starbucks lekt per ongeluk API-keys

15 januari 2020
Starbucks lekt per ongeluk API-keys

Amerikaanse koffiegigant Starbucks is in opspraak gekomen wegens API-keys van JumpCloud die te vinden waren via GitHub. Dit is dankzij hun ‘bug bounty program’ aan het licht gekomen.

JumpCloud

Het gaat om API keys die toegang geven tot de Active Directory-platform dat Starbucks gebruikt voor single sign-on. Aanvallers waren in staat om met behulp van de API-keys onder meer nieuwe rollen toe te kennen aan gebruikers en zelfs het volledige AWS account over te nemen.

Bug bounty program

Via het hackersforum HackerOne moedigt Starbucks hackers aan om zwakheden in hun systemen en beveiliging te ontdekken. Op 17 oktober 2019 ontdekt hacker Vinoth Kumar een repository op Github die de JumpCloud API-keys van Starbucks bevat. Na hier melding van gemaakt te hebben bij het bedrijf wordt de datalek onmiddellijk als kritisch gemarkeerd door de internationale koffieketen. De API keys worden vrijwel onmiddellijk ingetrokken terwijl er naar een langdurige oplossing wordt gezocht. Kumar werd beloond met een bounty van 4000 dollar voor het ontdekken en melden van de lek.

Hoe heeft dit kunnen gebeuren?

Github wordt door veel programmeurs gebruikt om codes met elkaar uit te wisselen, kennis te delen en feedback te vergaren. Om feedback te kunnen krijgen over de software moet er in sommige gevallen toegang verleend worden tot afgeschermde gegevens. Het komt om die reden regelmatig voor dat de softwarecode inloggegevens bevatten. Begin vorig jaar werd in een onderzoek al naar buiten gebracht dat op dagelijkse basis duizenden nieuwe repositories vertrouwelijke informatie lekken.

API congres

Alles over het inrichten, optimaliseren en beveiligen van API’s ontdek je op het API congres op 11 maart 2020. Diverse toonaangevende organisatie zoals Univé en Bol.com delen hun ervaring tijdens het congres. Tijdens de break-outsessies en netwerkmomenten heb je de mogelijkheid om met vakgenoten te sparren over dit onderwerp. Mis het niet en meld je direct aan.