Dilapori Bug Kritis, Starbucks Bayar Bug Hunter US$ 4.000

Cyberthreat.id – Pengembang (developer) sistem informasi Starbucks menyatakan telah mengatasi kecacatan situsnya (bug) pada kunci antarmuka pemrograman aplikasi (API key).

Adanya bug tersebut membuat kunci API terbuka dan bisa diakses oleh penjahat siber untuk mengakses sistem internal dan memanipulasi daftar pengguna yang sah.

Tingkat keparahan kerentanan itu menjadi kritis karena kunci memungkinkan akses ke Starbucks JumpCloud API.

JumpCloud adalah platform manajemen Direktori Aktif sebagai alternatif Azure AD; memberikan manajemen pengguna, kontrol akses masuk tunggal aplikasi web (single sing-on/SSO), dan layanan Protokol Akses Direktori Ringan (lightweight directory access protocol/LDAP).

API memungkinkan developer untuk mengintegrasikan dua bagian dari aplikasi atau dengan aplikasi yang berbeda secara bersamaan.

Sementara API key adalah sebuah kode unik yang berguna untuk memberikan akses log-in dan menyambungkan kode dari developer satu ke developer kedua. Sederhannya, API key semacam kata sandi untuk menghubungkan platform yang satu dengan lainnya.

Pemburu bug (bug hunter) Vinoth Kumar menemukan kunci tersebut di penyimpanan (repositori) GitHub publik. Ia mengungkapkan kerentanan itu di bawah koordinasi komunitas pencari kerentanan dan platform sayembara bug (bug bounty), HackerOne

Ia pun melaporkan temuan pada 17 Oktober 2019. Starbucks menangani masalah lebih cepat, meski baru pada 21 Oktober 2019, repositori telah dihapus dan kunci API dicabut.

Butuh waktu tiga pekan Starbucks merespons temuan Kumar dan menyatakan dirinya berhak mendapatkan hadiah bug bounty.

Alasan perusahaan cukup lama untuk merespons temuan itu, karena "perlu memastikan, bahwa kami memahami tingkat keparahan masalah ini dan bahwa semua langkah perbaikan yang tepat telah diambil," kata perusahaan seperti ditulis BleepingComputer, Selasa (31 Desember 2019).

Kumar juga menyediakan kode proof-of-concept (PoC) yang menunjukkan kemungkinan yang bisa dilakukan penyerang dengan kunci tersebut.

Menurut dia, musuh bisa mengendalikan akun Amazon Web Services (AWS), menjalankan perintah pada sistem, dan menambah atau menghapus pengguna dengan akses ke sistem internal.

Starbucks memberi hadiah Kumar atas temuan itu sebesar US$ 4.000 (Rp 56 juta), hadiah tertinggi untuk kerentanan kritis. Sebagian besar hadiah dari Starbucks adalah antara US$ 250—US$ 375.

Sejak 2016, Starbuck telah menjalankan program bug bounty dan menerima 834 laporan. Dari jumlah itu, 369 di antaranya dilaporkan dalam tiga bulan terakhir. Dan, selama tiga bulan terakhir itu, Starbucks telah menghabiskan uang sebesar US$ 40.000.

Kerentanan signifikan lain yang juga dilaporkan ke Starbucks pada 2019 adalah pengawasan yang dapat dimanfaatkan untuk mengendalikan subdomain perusahaan. Subdomain itu menunjuk ke host cloud Azure. Starbucks pun telah membayar ke peneliti yang menemukan itu sebesar US$ 2.000.