Исследователь безопасности обнаружил, что Home Depot в течение года оставлял открытым доступ к своим внутренним системам после того, как один из сотрудников случайно опубликовал приватный токен доступа. Обнаружив эту уязвимость, исследователь пытался несколько недель предупредить компанию, но не получил ответа.
В начале ноября исследователь нашёл токен доступа к GitHub, принадлежащий сотруднику Home Depot, который, по всей видимости, был опубликован в начале 2024 года. Токен предоставлял доступ к сотням приватных репозиториев с исходным кодом Home Depot и позволял изменять их содержимое.
Доступ по токену охватывал облачную инфраструктуру компании, включая системы управления заказами, складские системы и процессы разработки кода. С 2015 года Home Depot хранит большую часть своей инфраструктуры для разработчиков и инженеров на GitHub.
Несмотря на многочисленные попытки связаться с компанией по электронной почте и через LinkedIn, исследователь не получил никакой реакции. В отличие от других компаний, которые благодарили его за сообщения об уязвимостях, Home Depot игнорировал его обращения.
Так как у компании отсутствовала программа для сообщения о безопасности, исследователь вынужден был обратиться к журналистам, чтобы привлечь внимание к проблеме. После публикации инцидента токен был отозван и больше не доступен в сети.
Home Depot подтвердил получение сообщения, но комментариев по ситуации не предоставил. Также неизвестно, проверяла ли компания использование токена за время его доступности.
