محقق می گوید Home Depot دسترسی به سیستم های داخلی را برای یک سال در معرض دید قرار داد

محقق می گوید Home Depot دسترسی به سیستم های داخلی را برای یک سال در معرض دید قرار داد

  • امنیت, به گفته محقق، انبار خانه به مدت یک سال در معرض دسترسی به سیستم های داخلی قرار گرفت

یک محقق امنیتی گفت Home Depot به مدت یک سال پس از اینکه یکی از کارمندانش توکن دسترسی خصوصی را به صورت آنلاین منتشر کرد، احتمالاً به اشتباه، دسترسی به سیستم های داخلی خود را در معرض دید قرار داد. محقق توکن لو رفته را پیدا کرد و سعی کرد به طور خصوصی به Home Depot در مورد نقص امنیتی آن هشدار دهد، اما برای چند هفته نادیده گرفته شد. 

محقق می گوید Home Depot دسترسی به سیستم های داخلی را برای یک سال در معرض دید قرار داد

Home Depot exposed access to internal systems for a year, says researcher

یک محقق امنیتی گفت Home Depot به مدت یک سال پس از اینکه یکی از کارمندانش توکن دسترسی خصوصی را به صورت آنلاین منتشر کرد، احتمالاً به اشتباه، دسترسی به سیستم های داخلی خود را در معرض دید قرار داد. محقق توکن لو رفته را پیدا کرد و سعی کرد به طور خصوصی به Home Depot در مورد نقص امنیتی آن هشدار دهد، اما برای چند هفته نادیده گرفته شد. در حال حاضر پس از تماس TechCrunch با نمایندگان شرکت در هفته گذشته، این قرار گرفتن در معرض رفع شد. بن زیمرمن، محقق امنیتی، به TechCrunch گفت که در اوایل نوامبر، یک توکن دسترسی GitHub منتشر شده متعلق به یکی از کارمندان Home Depot را پیدا کرد که در اوایل سال 2024 در معرض دید قرار گرفت. هنگامی که او این توکن را آزمایش کرد، Zimmermann گفت که به صدها مخزن کد منبع Home Depot خصوصی که در GitHub میزبانی شده بودند دسترسی داده شد و محتوای آنها را تغییر داد. این محقق گفت این کلیدها امکان دسترسی به زیرساخت ابری Home Depot، از جمله انجام سفارشات و سیستم‌های مدیریت موجودی، و خطوط لوله توسعه کد و سایر سیستم‌ها را فراهم می‌کنند. طبق نمایه مشتری در وب سایت GitHub، Home Depot از سال 2015 میزبان بسیاری از توسعه دهندگان و زیرساخت های مهندسی خود در GitHub بوده است. زیمرمن گفت که چندین ایمیل به Home Depot ارسال کرده اما پاسخی دریافت نکرده است. او همچنین پس از ارسال پیامی از طریق لینکدین، از افسر ارشد امنیت اطلاعات Home Depot، کریس لانزیلوتا، پاسخی دریافت نکرد. زیمرمن به TechCrunch گفت که چندین مورد مشابه را در ماه‌های اخیر برای شرکت‌هایی که از او به خاطر یافته‌هایش تشکر کرده‌اند، افشا کرده است. او گفت: «هوم دیپو تنها شرکتی است که من را نادیده گرفت. با توجه به اینکه Home Depot راهی برای گزارش نقایص امنیتی مانند افشای آسیب‌پذیری یا برنامه پاداش باگ ندارد، Zimmermann با TechCrunch در تلاش برای رفع این مشکل تماس گرفت. هنگامی که TechCrunch در 5 دسامبر به آن رسید، سخنگوی Home Depot جورج لین دریافت ایمیل ما را تایید کرد اما به ایمیل‌های بعدی که درخواست نظر می‌کردند پاسخ نداد. رمز افشا شده دیگر آنلاین نیست و محقق گفت که دسترسی به توکن بلافاصله پس از اطلاع رسانی ما لغو شد. ما همچنین از Lane پرسیدیم که آیا Home Depot ابزارهای فنی مانند گزارش‌ها را دارد تا مشخص کند آیا شخص دیگری از این توکن در ماه‌هایی که به صورت آنلاین برای دسترسی به هر یک از سیستم‌های داخلی Home Depot به صورت آنلاین باقی مانده است استفاده کرده است یا خیر. ما جوابی نشنیدیم.

  • cybersecurity
  • data breach
  • Exclusive
  • GitHub
  • home depot
  • Security