美國星巴克近年積極數碼轉型,大量採用科技改善服務,尤其公共雲技術。不過星巴克卻被爆出有人疏忽大意,將 API 密鑰放在 GitHub 公開資料夾,任人下載。幸得印度網絡安全研究員發現,即時向第三方安全平台通報,更獲得 4,000 美元獎金回報。
事件發生在去年 10 月,網絡安全研究員 Vinoth Kumar 發現,星巴克的 JumpCloud API 密鑰放在 GitHub 公開資料夾內任人下載。 JumpCloud 是 Active Directory 雲端管理服務,如 SSO 存取限制、 LDAP 服務。只要擁有這密鑰,甚至能接管星巴克在公共雲平台上的服務,移除其他用戶的權限。
星巴克有完善的保安漏洞通報和獎勵機制,與 HackerOne 合作提供。 Kumar 發現即時向 HackerOne 通報,而星巴克知悉,四日後移除資料夾,註銷外洩的 API 密鑰。
星巴克在調查後,將此事列作嚴重安全危機。作為西方文明國家的大企業,外界協助發現資訊安全漏洞,不止不會報警輯拿安全人員,更有現金獎勵。星巴克向 Kumar 發放 4,000 美元獎金,亦是該計畫的獎金上限。