La empresa Starbucks dio a conocer que una de las llaves que utiliza para su interfaz de programación de aplicaciones se encontraba expuesta de manera pública en su repositorio de GitHub y que, en caso de ser utilizada por un atacante, permitiría acceder a los sistemas internos y manipular la lista de usuarios autorizados.

Vinoth Kumar, investigador de vulnerabilidades, reportó el evento a Starbucks el pasado 17 de octubre de 2019 a través de HackerOne, plataforma de coordinación de vulnerabilidades y recompensas. Kumar proporcionó un código de prueba de concepto que demostraba lo que un atacante conseguiría hacer con la llave: además de enumerar sistemas y usuarios, los adversarios lograrían tomar el control de la cuenta de Amazon Web Services (AWS), ejecutar comandos en los sistemas, y agregar o eliminar usuarios con acceso a los sistemas internos. Esta vulnerabilidad se consideró como crítica, ya que dicha llave también se conseguiría el acceso a una API de JumpCloud de la misma empresa. JumpCloud es una plataforma de administración de Active Directory que proporciona administración de usuarios, control de acceso de aplicación web SSO y servicio LDAP.

Sin embargo, fue hasta tres semanas después que Starbucks informó que había encontrado información significativa en el hallazgo que podría repercutir en su seguridad. Asímismo, recompensó a Kumar con $4,000 dólares por la divulgación, que es la recompensa máxima por vulnerabilidades críticas. La mayoría de las remuneraciones que ha ofrecido Starbucks han sido de entre $250 y $375 dólares.

Referencias:
https://www.bleepingcomputer.com/news/security/starbucks-devs-leave-api-key-in-github-public-repo/
https://hackerone.com/reports/716292
https://hackerone.com/starbucks?view_policy=true