Esta chave podia ser usada por um atacante para aceder a sistemas internos da empresa e manipular a lista de utilizadores autorizados.

O problema foi considerado crítico pela empresa, já que qualquer atacante conseguia acesso à API do Starbucks na plataforma JumpCloud.

O JumpCloud é um plataforma de gestão do Active Directory que permite a gestão dos utilizadores, Controlo de acesso com base no sistema de single sign on e alinda o serviço de LDAP.

O problema foi identificado em outubro do ano passado, sendo que o investigador reportou o problema pela plataforma Hackerone; e para provar a sua descoberta, mostrou no relatório a lista dos sistemas e utilizadores, como podia tomar controlo da conta AWS (Amazon Web Services), executar comandos nos sistemas e ainda adicionar ou remover os utilizadores com acesso a sistemas internos.

Relatório original presente na plataforma Hackerone: https://hackerone.com/reports/716292

Mais informações: https://www.bleepingcomputer.com/news/security/starbucks-devs-leave-api-key-in-github-public-repo/