Исследователь в области кибербезопасности обнаружил, что Home Depot в течение года оставлял открытым доступ к своим внутренним системам из-за опубликованного в интернете приватного токена доступа, который, вероятно, ошибочно разместил сотрудник компании. По словам эксперта, предоставленный доступ позволял получить контроль над сотнями приватных репозиториев исходного кода Home Depot на GitHub и изменять их содержимое.
Об этом сообщает ProIT
Утечка данных через GitHub и реакция компании
В начале ноября 2024 года независимый исследователь безопасности Бен Циммерманн обнаружил на GitHub опубликованный токен, принадлежащий сотруднику Home Depot. Тестирование показало: этот ключ открывал возможность доступа к широкому кругу внутренних систем компании, включая облачную инфраструктуру, платформы для выполнения заказов, управления складскими запасами и среды разработки. Известно, что Home Depot с 2015 года активно использует GitHub для размещения программной инфраструктуры.
Несмотря на неоднократные попытки предупредить компанию о опасности — с помощью электронной почты и сообщения через LinkedIn для директора по информационной безопасности Криса Ланцилотты — Циммерманн не получил ответа от Home Depot в течение нескольких недель. Исследователь отметил, что ранее другие компании благодарили его за выявленные уязвимости, однако в случае с Home Depot специалист столкнулся с игнорированием:
«Home Depot — единственная компания, которая проигнорировала меня», — отметил Бен Циммерманн.
Действия после выявления проблемы
Поскольку у Home Depot отсутствует официальная процедура для сообщения о уязвимостях или программа вознаграждений за найденные баги, исследователь был вынужден обратиться к СМИ. После этого компания отозвала открытый токен и закрыла доступ к внутренним системам, которые оставались уязвимыми в течение года. Представитель Home Depot Джордж Лейн подтвердил получение сообщения, но не предоставил дополнительных комментариев относительно возможных несанкционированных доступов в период утечки или возможности отслеживания стороннего использования токена с помощью технических журналов.
Вопросы о потенциальных последствиях для безопасности и действиях компании по расследованию инцидента остаются открытыми.