Уязвимость в Home Depot: год доступа к внутренним системам

Исследователь безопасности Бен Циммерман обнаружил, что крупный ритейлер Home Depot непреднамеренно предоставил доступ к своим внутренним системам на протяжении целого года. Причиной стал случайно опубликованный сотрудником компании приватный токен доступа на платформе GitHub.

Циммерман обнаружил токен в начале ноября и, протестировав его, выяснил, что он открывает доступ к сотням частных репозиториев исходного кода Home Depot, позволяя не только просматривать, но и изменять их содержимое. По словам исследователя, обнаруженные ключи предоставляли доступ к облачной инфраструктуре компании, включая системы управления заказами и запасами, а также к конвейерам разработки кода.

Проблемная ситуация усугубляется тем, что Home Depot, по-видимому, проигнорировала попытки исследователя уведомить компанию о проблеме. Циммерман отправил несколько электронных писем, а также связался с руководителем отдела информационной безопасности компании через LinkedIn, однако не получил ответа в течение нескольких недель. Это стало для него неожиданностью, так как другие компании, которым он сообщал о подобных уязвимостях, благодарили его за находку.

Отсутствие у Home Depot официальных каналов для сообщения о таких проблемах, как программа поощрения за обнаружение уязвимостей (bug bounty), побудило Циммермана обратиться в прессу, чтобы привлечь внимание к ситуации и добиться её исправления.

После того как TechCrunch связался с представителями Home Depot на прошлой неделе, уязвимость была устранена. Представитель компании Джордж Лейн подтвердил получение запроса, однако не предоставил развернутых комментариев. Утекший токен был удален, а доступ по нему отозван вскоре после обращения журналистов. Остается неясным, удалось ли компании выяснить, использовался ли токен для несанкционированного доступа к внутренним системам за время его доступности.