星巴克因员工重大疏失,导致内部系统API密钥置于GitHub公开文件夹
不知名的星巴克员工不慎将公司内部网站的API密钥留在GitHub公开文件夹上,差点给了黑客访问公司内部网络,修改授权用户的名单或接管账号的机会。发现漏洞后,研究人员立即通报HackerOne漏洞通报及奖励平台。星巴克接到通报4天后移除了文件夹,并注销了API密钥。星巴克审查后将此漏洞列为“重大信息泄露”,对漏洞修补过程“感到满意”,因此颁发Kumar 4,000美元的奖金。去年8月星巴克也曾在一台废弃不用的Azure主机上,留下子域名的DNS pointer未删除,使未来注册该主机的用户可接收该子域名的信息。