Ontwikkelaars van de Starbucks-applicaties hebben per ongeluk api-sleutels op GitHub gezet. Aanvallers konden daarmee in potentie toegang krijgen tot interne systemen van het bedrijf. Er zijn geen aanwijzingen dat dat daadwerkelijk is gebeurd.
Het lek werd gevonden in een publieke GitHub-repository. Een beveiligingsonderzoeker vond de api-sleutels. Hij bracht Starbucks daarvan op de hoogte via het responsible disclosure-programma op HackerOne. De api-sleutels werden gebruikt voor toegang tot JumpCloud. Dat is een Active Directory-platform dat Starbucks intern gebruikt voor onder andere gebruikersrollen en toegangscontrole via single sign-on. Met de sleutels was het dus mogelijk nieuwe rollen toe te kennen aan gebruikers, en in te loggen in het systeem. Ook was het mogelijk Starbucks' Amazon Web Services-account over te nemen.
Starbucks gaf het lek een hoge prioriteit en dichtte dat binnen drie weken. De onderzoeker kreeg 4000 dollar als beloning, het maximale bedrag dat het bedrijf uitkeert voor bug bounties. Naast het aanwijzen van het lek liet hij ook een proof-of-concept zien waarin hij aantoonde hoe het lek kon worden uitgebuit.