Una Al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Desarrolladores de Starbucks dejan expuesta la clave de una de sus API

Desarrolladores de Starbucks dejan expuesta la clave de una de sus API

Por Deja un comentario

La clave fue expuesta en un repositorio público de GitHub y permitía acceder a sistemas de la compañía y modificar la lista de usuarios autorizados.

El investigador de seguridad Vinoth Kumar (@vinodsparrow) ha reportado la vulnerabilidad a través del programa de bug bounty de HackerOne.

La vulnerabilidad fue clasificada como «crítica», ya que permitía acceder a la API de JumpCloud de Starbucks y desde ahí eliminar usuarios o añadir nuevos que podrían permitir acceder a sistemas internos de la compañía o secuestrar infraestructuras de AWS.

JumpCloud es una plataforma diseñada para empresas que permite gestionar de forma centralizada diferentes servicios en red: Directorios Activos, control de usuarios, sistemas de inicio de sesión unificado (SSO) o gestión de accesos mediante LDAP.

Kumar descubrió el repositorio realizando búsquedas desde el motor de la plataforma Github. En ella encontró un repositorio perteneciente a Starbucks donde se exponía la clave:

https://github.com/XXX/Project/blob/0d56bb910923da2fbee95971778923f734a25f68/getSystemUsers.go

req.Header.Add("x-api-key", "XXXXXXXXX")

La vulnerabilidad fue reportada a través de la plataforma HackerOne el 17 de octubre del pasado año y fue corregida cuatro días más tarde eliminando la clave del repositorio y anulando la clave en JumpCloud.

Kumar también ha publicado una prueba de concepto que demuestra cómo listar usuarios y máquinas o información sensible sobre configuraciones de Amazon Web Services (AWS).

Listado de sistemas (AWS):
curl -H «x-api-key: XXXXXXXXX» «https://console.jumpcloud.com/api/systems»

Listado de usuarios:
curl -H «x-api-key: XXXXXXXXX» «https://console.jumpcloud.com/api/systemusers»

Aplicaciones con inicio de sesión unificado (SSO):
curl -H «x-api-key: XXXXXXXXX» «https://console.jumpcloud.com/api/applications»

Esta última petición mostraba configuraciones de AWS SAM que podrían ser aprovechadas para secuestrar la cuenta.

El día 4 de noviembre Starbucks agradeció a Kumar su reporte con una recompensa de 4.000 dólares, la máxima que la compañía otorga a vulnerabilidades críticas.

Más información:

JumpCloud API Key leaked via Open Github Repository.
https://hackerone.com/reports/716292

Acerca de Francisco Salido

Francisco Salido Ha escrito 140 publicaciones.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.