Стрімка еволюція технологій не завжди супроводжується відповідними заходами безпеки. Вражаючий випадок стався з Home Depot, коли один з їхніх співробітників випадково оприлюднив доступ до внутрішніх систем компанії, що могло б призвести до серйозних загроз для даних.
Інцидент з несанкціонованим доступом до даних
На початку листопада відомий дослідник з безпеки Бен Циммерман звернувся до TechCrunch із тривожним відкриттям. Він виявив, що токен доступу співробітника Home Depot був опублікований на платформі GitHub, і за попередніми даними цей інцидент стався десь на початку 2024 року. Після тестування токена Циммерман зрозумів, що він надає доступ до сотень приватних репозиторіїв коду Home Depot, розміщених на GitHub, дозволяючи навіть змінювати їхній вміст.
За словами дослідника, отримані ключі відкривали двері до хмарної інфраструктури Home Depot, включаючи системи управління замовленнями та запасами, а також конвеєри розробки програмного забезпечення. Важливо зазначити, що з 2015 року компанія активно використовує GitHub для своїх інженерних потреб.
Циммерман декілька разів намагався зв’язатися з Home Depot, аби повідомити про цю загрозу, однак жодної відповіді не отримав—ані від компанії, ані від керівника відділу інформаційної безпеки Кріса Ланцилотти, до якого він звернувся через LinkedIn. Циммерман підкреслив, що в його практиці це єдиний випадок, коли компанія не виявила жодної реакції на серйозну загрозу.
Відзначимо, що Home Depot не має встановленої процедури для повідомлення про вразливості, що ускладнює процес виявлення та усунення проблеми в подібних ситуаціях. Після того, як TechCrunch звернувся до представників компанії, ситуація змінилася: токен доступу був вилучений, а доступ до нього припинено.
Спеціаліст Home Depot Джордж Лейн підтвердив отримання запиту, але не надав додаткових коментарів. При цьому залишається питання, чи є у компанії технічні можливості для моніторингу використання токена, коли він залишався активним протягом місяців.
Аналіз цього інциденту підкреслює необхідність вдосконалення заходів безпеки компаній, які покладаються на сучасні технології для ведення бізнесу.