Уязвимость в системах Home Depot: Открытый токен доступа обнажил внутренние данные
Инцидент показывает важность своевременного реагирования на сообщения о безопасности
Исследователь безопасности сообщил, что доступ к внутренним системам Home Depot оставался открытым в течение года после того, как сотрудник компании вероятно по ошибке опубликовал частный токен доступа в интернет. Несмотря на попытки исследователя уведомить Home Depot о проблеме, его сообщения игнорировались в течение нескольких недель. Проблема была решена только после обращения журналистов TechCrunch к представителям компании.
Обнаружение уязвимости
В начале ноября, исследователь Бен Циммерман обнаружил опубликованный токен доступа GitHub, принадлежащий сотруднику Home Depot. Этот токен, по словам Циммермана, предоставлял доступ ко многим закрытым репозиториям исходного кода компании на GitHub и позволял вносить изменения в их содержимое.
Последствия утечки
Этот инструмент предоставлял доступ не только к репозиториям, но и к облачной инфраструктуре Home Depot, включая системы управления заказами и инвентаризацией, а также каналы разработки кода. Home Depot использует платформу GitHub для размещения своей инфраструктуры с 2015 года.
Попытки связаться с Home Depot
Циммерман отправил несколько электронных писем в Home Depot, но не получал ответа. Также он не получил ответа от главного специалиста по информационной безопасности компании, Криса Ланцилотты, после отправки сообщения через LinkedIn. Исследователь также отметил, что ранее сообщал о подобных уязвимостях другим компаниям, которые благодарили его за его работу.
Реакция компании
Поскольку в Home Depot отсутствует программа уведомления о уязвимостях или баг баунти, Циммерман обратился в TechCrunch для решения проблемы. Когда TechCrunch связались с компанией 5 декабря, представитель Home Depot Джордж Лэйн подтвердил получение письма, но не ответил на дополнительные запросы. Открытый токен был удален, и доступ к нему был вскоре отозван.
TechCrunch также пытались выяснить, есть ли у Home Depot технические возможности, такие как логи, для определения использования токена посторонними лицами, но компания не предоставила ответа.
