• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Desarrolladores de Starbucks dejan expuesta la clave de una de sus API

Desarrolladores de Starbucks dejan expuesta la clave de una de sus API

2 enero, 2020 Por Francisco Salido Deja un comentario

La clave fue expuesta en un repositorio público de GitHub y permitía acceder a sistemas de la compañía y modificar la lista de usuarios autorizados.

El investigador de seguridad Vinoth Kumar (@vinodsparrow) ha reportado la vulnerabilidad a través del programa de bug bounty de HackerOne.

La vulnerabilidad fue clasificada como «crítica», ya que permitía acceder a la API de JumpCloud de Starbucks y desde ahí eliminar usuarios o añadir nuevos que podrían permitir acceder a sistemas internos de la compañía o secuestrar infraestructuras de AWS.

JumpCloud es una plataforma diseñada para empresas que permite gestionar de forma centralizada diferentes servicios en red: Directorios Activos, control de usuarios, sistemas de inicio de sesión unificado (SSO) o gestión de accesos mediante LDAP.

Kumar descubrió el repositorio realizando búsquedas desde el motor de la plataforma Github. En ella encontró un repositorio perteneciente a Starbucks donde se exponía la clave:

https://github.com/XXX/Project/blob/0d56bb910923da2fbee95971778923f734a25f68/getSystemUsers.go

req.Header.Add("x-api-key", "XXXXXXXXX")

La vulnerabilidad fue reportada a través de la plataforma HackerOne el 17 de octubre del pasado año y fue corregida cuatro días más tarde eliminando la clave del repositorio y anulando la clave en JumpCloud.

Kumar también ha publicado una prueba de concepto que demuestra cómo listar usuarios y máquinas o información sensible sobre configuraciones de Amazon Web Services (AWS).

Listado de sistemas (AWS):
curl -H «x-api-key: XXXXXXXXX» «https://console.jumpcloud.com/api/systems»

Listado de usuarios:
curl -H «x-api-key: XXXXXXXXX» «https://console.jumpcloud.com/api/systemusers»

Aplicaciones con inicio de sesión unificado (SSO):
curl -H «x-api-key: XXXXXXXXX» «https://console.jumpcloud.com/api/applications»

Esta última petición mostraba configuraciones de AWS SAM que podrían ser aprovechadas para secuestrar la cuenta.

El día 4 de noviembre Starbucks agradeció a Kumar su reporte con una recompensa de 4.000 dólares, la máxima que la compañía otorga a vulnerabilidades críticas.

Más información:

JumpCloud API Key leaked via Open Github Repository.
https://hackerone.com/reports/716292

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Spring Boot & Angular

Hacking de dispositivos iOS

ESP 3

Publicado en: Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Routers de diversos fabricantes objetivos del nuevo malware ZuoRAT
  • Microsoft anuncia que ya ha solucionado los problemas con RRAS en Windows Server para todos los usuarios
  • Las apps de mensajería y videoconferencia te escuchan incluso cuando estás "muteado"
  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.

Entradas recientes

  • Routers de diversos fabricantes objetivos del nuevo malware ZuoRAT
  • Microsoft anuncia que ya ha solucionado los problemas con RRAS en Windows Server para todos los usuarios
  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Routers de diversos fabricantes objetivos del nuevo malware ZuoRAT
  • Microsoft anuncia que ya ha solucionado los problemas con RRAS en Windows Server para todos los usuarios
  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...