更多

    星巴克保安出事 API 密鑰曾放上 GitHub 任下載

    Eric Chong
    Eric Chong
    商業・科技・創業・編輯

    Red Hat:開源混合雲有助企業轉型

    由中國武漢擴散全球的新型冠狀病毒引致的肺炎疫情加速企業數碼轉型,而且愈來愈多採用混合雲技術支援。今年的 Red Hat Forum 亞太區網上虛擬論壇上,該公司亞太地區高級副總裁兼總經理 Dirk-Peter van Leeuwen 稱,開源混合雲需求大增,有助企業適應市場環境的改變。

    拜登醜聞牽連社交平台

    美國政治術語「十月驚奇」( October Surprise )果然給人驚喜,更一次比一次震撼。最新輪到民主黨候選人拜登爆出醜聞,家族勾結外國勢力,包括串通烏克蘭。最令人驚訝是社交平台的反應, Facebook 和 Twitter 都刻意減低傳播。

    VMware:港企面對現實 加速數碼轉型抗疫

    由中國武漢擴散全球的新型冠狀病毒引致的肺炎疫情已經持續大半年, VMware 香港及澳門地區總經理藍建基稱,企業近期開始面對現實,透過數碼科技加快轉型,適應疫情下的新環境。該公司今年推出的以 Kubernetes 為基礎的 Tanzu 平台,協助企業擁有彈性基建容量,亦有助開發團隊轉型。

    美國星巴克近年積極數碼轉型,大量採用科技改善服務,尤其公共雲技術。不過星巴克卻被爆出有人疏忽大意,將 API 密鑰放在 GitHub 公開資料夾,任人下載。幸得印度網絡安全研究員發現,即時向第三方安全平台通報,更獲得 4,000 美元獎金回報。

    事件發生在去年 10 月,網絡安全研究員 Vinoth Kumar 發現,星巴克的 JumpCloud API 密鑰放在 GitHub 公開資料夾內任人下載。 JumpCloud 是 Active Directory 雲端管理服務,如 SSO 存取限制、 LDAP 服務。只要擁有這密鑰,甚至能接管星巴克在公共雲平台上的服務,移除其他用戶的權限。

    星巴克有完善的保安漏洞通報和獎勵機制,與 HackerOne 合作提供。 Kumar 發現即時向 HackerOne 通報,而星巴克知悉,四日後移除資料夾,註銷外洩的 API 密鑰。

    星巴克在調查後,將此事列作嚴重安全危機。作為西方文明國家的大企業,外界協助發現資訊安全漏洞,不止不會報警輯拿安全人員,更有現金獎勵。星巴克向 Kumar 發放 4,000 美元獎金,亦是該計畫的獎金上限。

    您會感興趣的內容

    相關文章