GitHub 是不少开发者都喜欢使用的平台,用于分享和参考各种编程项目,不过如有不慎,很容易会连同机密数据一同发布出去。最近星巴克的员工就不慎将内部网站的 API 金钥放在 GitHub 的公开数据夹中,幸好已经及时补救。
据报导指,星巴克的员工在 GitHub 上意外摆放了内部 JumpCloud 平台的 API 金钥,使用这个金钥可以进入星巴克内部平台,除了更改各使用者的权限之外,更可以存取 SSO 管理、LDAP 服务以及 AWS 帐号等,是个相当重大的漏洞。这个金钥由印度的网络安全研究员 Vinoth Kumar 发现,并透过 HackerOne 即时通报给星巴克。
经过调查之后,星巴克将之列爲重大资讯泄漏事故,4 日后星巴克移除该公开数据夹并注销金钥防止再被使用。星巴克后来向 Vinoth Kumar 发出 4,000 美元的报酬金,虽然不算钜额但已经是星巴克最大的奖金。