Se encuentra la clave API de Starbucks en el repositorio público de GitHub: informes

Los desarrolladores de Starbucks dejaron una clave API en el repositorio público de GitHub que podría haber dado a cualquier atacante el acceso a los sistemas internos de la cadena de cafeterías que fácilmente habrían manipulado la lista de usuarios autorizados.

Según lo informado por primera vez por Bleeping Computer, el nivel de vulnerabilidad de la clave API se estableció en crítico porque permitía el acceso a una API JumpCloud de Starbucks, pero fue descubierto por el cazador de vulnerabilidades Vinoth Kumar, quien encontró la clave y la reveló de manera responsable a través de la coordinación de vulnerabilidad HackerOne y plataforma de recompensas de errores.

JumpCloud es una plataforma de administración de directorio activo anunciada como una alternativa de Azure AD, que proporciona administración de usuarios, control de acceso de inicio de sesión único de aplicación web (SSO) y servicio de Protocolo ligero de acceso a directorios (LDAP).

Starbucks finalmente quedó satisfecho con la remediación de Kumar y lo recompensó con una recompensa de $ 4,000 (£ 3,047) por la divulgación.

El mes pasado, StrongSalt lanzó su Open Privacy API para mejorar la seguridad de las aplicaciones de los desarrolladores. StrongSalt ofrece API y SDK para la mayoría de los proveedores líderes de la nube, incluidos Box, AWS S3, Google Cloud y Azure. StrongSalt también puede suministrar almacenamiento en la nube para aquellos sin un proveedor actual. La Open Privacy API proporciona funciones de cifrado para que los desarrolladores puedan centrarse más en crear aplicaciones excelentes sin tener que aprender la experiencia en ciberseguridad necesaria para garantizar su seguridad.

Durante el mismo tiempo, la firma de desarrollo de API Postman publicó algunos de sus hallazgos interesantes sobre los diversos tipos de personas que se involucran con las API. Más de la mitad (53%) de los 10,000 encuestados que dijeron que usaban API no tenían el título de "desarrollador". Esto representó un aumento significativo con respecto a 2018 cuando el 59% dijo que eran desarrolladores front-end o back-end. Algunos de los roles que no son de desarrollador donde las personas se involucran con API incluyen escritores técnicos y ejecutivos. Postman descubrió que el 74% de los equipos de desarrollo de API son pequeños con menos de 10 miembros.

¿Está interesado en escuchar a los líderes de la industria discutir temas como este y compartir sus casos de uso? Asistir a la ubicación conjunta Expo 5G, IoT Tech Expo, Expo Blockchain, Expo AI y Big Datay Cyber ​​Security & Cloud Expo Serie Mundial con próximos eventos en Silicon Valley, Londres y Amsterdam.