更多

    星巴克保安出事 API 密鑰曾放上 GitHub 任下載

    Eric Chong
    Eric Chong
    商業・科技・創業・編輯

    NVIDIA 市值首次超越 Intel

    Nvidia 在今星期的股價表現理想,不斷破頂創新高,連帶公司市值首次超越同業 Intel 。 Nvidia 作為一間 GPU 和人工智能晶片設計公司,追過 Intel 可謂一個重要里程碑。

    微軟 Teams 增新功能 各人展示在同一背景「在一起」

    微軟視像會議軟件 Teams 可謂在中國病毒大流行期間冒起,讓企業員工保持聯繫。該軟件即將加入多項新功能,其中之一是「 Together Mode 」,用人工智能技術將各會議參加者置身同一背景。

    AWS 用 AI 預測基建需要 支援疫情期間影片用量急增

    疫情改變全球生態,企業更快和更進取使用公共雲服務,支援居家隔離期間的遙距工作和拓展網上業務。AWS 是其中的受惠平台。 Amazon.com 技術總監 Werner Vogels 指出,公共雲能夠快速回應企業在這段期間的各項 IT 需求。

    美國星巴克近年積極數碼轉型,大量採用科技改善服務,尤其公共雲技術。不過星巴克卻被爆出有人疏忽大意,將 API 密鑰放在 GitHub 公開資料夾,任人下載。幸得印度網絡安全研究員發現,即時向第三方安全平台通報,更獲得 4,000 美元獎金回報。

    事件發生在去年 10 月,網絡安全研究員 Vinoth Kumar 發現,星巴克的 JumpCloud API 密鑰放在 GitHub 公開資料夾內任人下載。 JumpCloud 是 Active Directory 雲端管理服務,如 SSO 存取限制、 LDAP 服務。只要擁有這密鑰,甚至能接管星巴克在公共雲平台上的服務,移除其他用戶的權限。

    星巴克有完善的保安漏洞通報和獎勵機制,與 HackerOne 合作提供。 Kumar 發現即時向 HackerOne 通報,而星巴克知悉,四日後移除資料夾,註銷外洩的 API 密鑰。

    星巴克在調查後,將此事列作嚴重安全危機。作為西方文明國家的大企業,外界協助發現資訊安全漏洞,不止不會報警輯拿安全人員,更有現金獎勵。星巴克向 Kumar 發放 4,000 美元獎金,亦是該計畫的獎金上限。

    相關文章