Bug Hunter Temukan API Key Starbucks Terekspos di GitHub. Developer Starbucks melakukan tindakan ceroboh dengan tidak sengaja mengekspos JumpCloud API Key yang bisa saja digunakan oleh hacker untuk mengakses sistem internal Starbucks tanpa autentifikasi. API tersebut bisa dimanfaatkan untuk mengeksekusi command si sistem, menambah dan menghapus user dari sistem, serta mengambil alih akun AWS milik Starbucks.
Starbucks JumpCloud API Key tersebut ditemukan oleh Vinoth Kumar, seorang peneliti keamanan dari India. Dia menemukannya pada tanggal 17 Oktober 2019 yang lalu di repositori publik GitHub. Setelah mengkonfirmasi bahwa API key tersebut bisa dimanfaatkan untuk masuk ke sistem internal Starbucks, dia berinisiatif melaporkan temuannya melalui platform HackerOne.
Temuan tersebut segera direspon oleh tim Starbucks. API Key tersebut segera direvoke sehingga tidak bisa digunakan lagi, sementara atas temuannya, Vinoth Kumar mendapatkan imbalan sebesar $4000. (yuyudhn/linuxsec)
