Expunerea sistemelor interne Home Depot
Home Depot a avut o expunere a sistemelor sale interne timp de un an, după ce un angajat a publicat accidental un token de acces privat online. Un cercetător în securitate a descoperit acest token expus și a încercat să alerteze compania cu privire la această lacună de securitate, dar a fost ignorat timp de câteva săptămâni.
Descoperirea expunerii
Cercetătorul de securitate Ben Zimmermann a declarat că, în noiembrie 2023, a găsit un token de acces publicat pe GitHub, aparținând unui angajat Home Depot, expus în primele luni ale anului 2024. Acest token permitea accesul la sute de repozitorii private de cod sursă Home Depot, găzduite pe GitHub, având capacitatea de a modifica conținutul acestora.
Accesul la infrastructura Home Depot
Zimmermann a menționat că tokenul oferea acces la infrastructura cloud a Home Depot, inclusiv la sistemele de gestionare a comenzilor și a stocurilor, precum și la pipeline-urile de dezvoltare a codului. Compania a găzduit o mare parte din infrastructura sa de dezvoltare și inginerie pe GitHub din 2015.
Comunicarea cu Home Depot
După ce a trimis mai multe e-mailuri către Home Depot, Zimmermann nu a primit răspuns. Nici chief information security officer-ul companiei, Chris Lanzilotta, nu a reacționat la mesajul său de pe LinkedIn. În absența unui program de raportare a vulnerabilităților, Zimmermann a contactat TechCrunch pentru a rezolva problema expunerii.
Rezolvarea problemei
Pe 5 decembrie, un purtător de cuvânt al Home Depot, George Lane, a confirmat primirea e-mailului, dar nu a oferit comentarii suplimentare. Tokenul expus nu mai este online, iar Zimmermann a menționat că accesul acestuia a fost revocat imediat după contactul cu TechCrunch.
Consecințele expunerii
Întrebat dacă Home Depot are capacitatea tehnică de a determina dacă altcineva a folosit tokenul pe perioada în care a fost expus, nu s-a primit un răspuns. Această situație evidențiază lacunele în securitatea cibernetică a Home Depot și importanța unor canale eficiente de raportare a vulnerabilităților.
Expunerea sistemelor interne Home Depot subliniază riscurile semnificative asociate cu gestionarea inadecvată a accesului la datele sensibile și necesitatea implementării unor măsuri stricte de securitate.




