GitHub 是不少開發者都喜歡使用的平台,用於分享和參考各種編程項目,不過如有不慎,很容易會連同機密資料一同發佈出去。最近 Starbucks 的員工就不慎將內部網站的 API 金鑰放在 GitHub 的公開資料夾中,幸好已經及時補救。
據報導指,Starbucks 的員工在 GitHub 上意外擺放了內部 JumpCloud 平台的 API 金鑰,使用這個金鑰可以進入 Starbucks 內部平台,除了更改各使用者的權限之外,更可以存取 SSO 管理、LDAP 服務以及 AWS 帳號等,是個相當重大的漏洞。這個金鑰由印度的網路安全研究員 Vinoth Kumar 發現,並透過 HackerOne 即時通報給 Starbucks。
經過調查之後,Starbucks 將之列爲重大資訊洩漏事故,4 日後 Starbucks 移除該公開資料夾並註銷金鑰防止再被使用。Starbucks 後來向 Vinoth Kumar 發出 4,000 美元的報酬金,雖然不算鉅額但已經是 Starbucks 最大的獎金。