Een ontwikkelaar bij koffieketen Starbucks heeft per ongeluk een inlogcode die toegang gaf tot een cloudomgeving van Starbucks online gezet, blijkt uit een bericht op HackerOne.

Het ging om een zogenoemde API-key. Die was per ongeluk openbaar te verkrijgen op het ontwikkelaarsplatform GitHub. Via deze dienst kunnen ontwikkelaars softwarecodes uitwisselen.

Met de code op GitHub was uiteindelijk toegang tot interne systemen van Starbucks mogelijk. Hier konden onder meer gebruikers toegevoegd en verwijderd worden. Verder was het mogelijk om het Starbucks-account bij clouddienst Amazon Web Services over te nemen.

De code werd door ethisch hacker Vinoth Kumar gevonden. Via HackerOne werd het lek bij Starbucks gemeld, dat het lek binnen drie weken dichtte. Het duurde langer omdat "de ernst van de zaak" moest worden onderzocht en "gepaste actie moest worden ondernomen". Er is geen bewijs gevonden dat de code is misbruikt.

Starbucks betaalde Kumar 4.000 dollar (3.575 euro) voor zijn ontdekking. Dat is de maximale beloning die Starbucks uitlooft voor het vinden van ernstige kwetsbaarheden.