Исследователь в области безопасности заявил, что компания Home Depot в течение года хранила в сети закрытый токен доступа к своим внутренним системам после того, как один из ее сотрудников, вероятно, по ошибке, опубликовал его в интернете. Исследователь обнаружил открытый токен и попытался в частном порядке сообщить Home Depot о нарушении безопасности, но его проигнорировали в течение нескольких недель.
После того, как на прошлой неделе представители TechCrunch связались с представителями компании, проблема устранена.
Исследователь в области информационной безопасности Бен Циммерманн рассказал TechCrunch, что в начале ноября он обнаружил опубликованный токен доступа GitHub, принадлежащий сотруднику Home Depot, который был скомпрометирован где-то в начале 2024 года.
По словам Циммермана, при тестировании токена он предоставлял доступ к сотням частных репозиториев исходного кода Home Depot, размещенных на GitHub, и позволял изменять их содержимое.
Исследователь заявил, что ключи позволили получить доступ к облачной инфраструктуре Home Depot, включая системы обработки заказов и управления запасами, а также конвейеры разработки кода и другие системы. Согласно профилю клиента на веб-сайте GitHub, Home Depot размещает большую часть своей инфраструктуры для разработчиков и инженеров на GitHub с 2015 года.
Зиммерманн сказал, что отправил несколько электронных писем в Home Depot, но не получил ответа.
Он также не получил ответа от Криса Ланзилотты, директора по информационной безопасности Home Depot, после того, как отправил сообщение через LinkedIn.
Зиммерманн рассказал TechCrunch, что за последние месяцы он сообщил компаниям о нескольких аналогичных случаях утечки данных, и они поблагодарили его за полученные результаты.
«Home Depot — единственная компания, которая меня проигнорировала», — сказал он.
Учитывая, что у Home Depot нет возможности сообщать об уязвимостях в системе безопасности, например, через систему раскрытия информации об уязвимостях или программу вознаграждения за обнаружение ошибок, Циммерманн связался с TechCrunch, чтобы добиться устранения этой уязвимости.
Когда 5 декабря с представителем Home Depot Джорджем Лейном связались представители TechCrunch, он подтвердил получение нашего электронного письма, но не ответил на последующие письма с просьбой прокомментировать ситуацию. Раскрытый токен больше не доступен в сети, и исследователь заявил, что доступ к токену был отозван вскоре после нашего обращения.
Мы также спросили Лейна, есть ли у Home Depot технические средства, такие как журналы событий, чтобы определить, использовал ли кто-либо еще этот токен в течение тех месяцев, пока он оставался в сети, для доступа к каким-либо внутренним системам Home Depot. Мы не получили ответа.
Источник: techcrunch.com
