Ένας ερευνητής ασφάλειας είπε ότι η Home Depot εξέθεσε την πρόσβαση στα εσωτερικά της συστήματα για ένα χρόνο αφού ένας από τους υπαλλήλους της δημοσίευσε ένα ιδιωτικό διακριτικό πρόσβασης στο διαδίκτυο, πιθανότατα κατά λάθος. Ο ερευνητής βρήκε το εκτεθειμένο διακριτικό και προσπάθησε να ειδοποιήσει ιδιωτικά το Home Depot για το σφάλμα ασφαλείας του, αλλά αγνοήθηκε για αρκετές εβδομάδες.
Η έκθεση έχει πλέον διορθωθεί αφού η TechCrunch επικοινώνησε με εκπροσώπους της εταιρείας την περασμένη εβδομάδα.
Ερευνητής ασφάλειας Μπεν Ζίμερμαν είπε στο TechCrunch ότι, στις αρχές Νοεμβρίου, βρήκε ένα δημοσιευμένο διακριτικό πρόσβασης στο GitHub που ανήκε σε έναν υπάλληλο του Home Depot, το οποίο αποκαλύφθηκε κάποια στιγμή στις αρχές του 2024.
Όταν δοκίμασε το διακριτικό, ο Zimmermann είπε ότι παραχώρησε πρόσβαση σε εκατοντάδες ιδιωτικά αποθετήρια πηγαίου κώδικα Home Depot που φιλοξενήθηκαν στο GitHub και επέτρεψε τη δυνατότητα τροποποίησης του περιεχομένου τους.
Ο ερευνητής είπε ότι τα κλειδιά επέτρεπαν την πρόσβαση στην υποδομή cloud του Home Depot, συμπεριλαμβανομένων των συστημάτων εκπλήρωσης παραγγελιών και διαχείρισης αποθέματος, και αγωγών ανάπτυξης κώδικα, μεταξύ άλλων συστημάτων. Η Home Depot φιλοξενεί μεγάλο μέρος της υποδομής προγραμματιστών και μηχανικών της στο GitHub από το 2015, σύμφωνα με μια προφίλ πελάτη στον ιστότοπο του GitHub.
Ο Zimmermann είπε ότι έστειλε πολλά email στο Home Depot αλλά δεν έλαβε απάντηση.
Ούτε έλαβε απάντηση από τον επικεφαλής της ασφάλειας πληροφοριών του Home Depot, Chris Lanzilotta, αφού έστειλε ένα μήνυμα μέσω του LinkedIn.
Ο Zimmermann είπε στο TechCrunch ότι έχει αποκαλύψει αρκετά παρόμοια ανοίγματα τους τελευταίους μήνες σε εταιρείες, οι οποίες τον έχουν ευχαριστήσει για τα ευρήματά του.
«Η Home Depot είναι η μόνη εταιρεία που με αγνόησε», είπε.
Δεδομένου ότι το Home Depot δεν έχει τρόπο να αναφέρει ελαττώματα ασφαλείας, όπως αποκάλυψη ευπάθειας ή πρόγραμμα επιβράβευσης σφαλμάτων, η Zimmermann επικοινώνησε με την TechCrunch σε μια προσπάθεια να διορθώσει την έκθεση.
Όταν έφτασε στο TechCrunch στις 5 Δεκεμβρίου, ο εκπρόσωπος Τύπου του Home Depot, George Lane, επιβεβαίωσε τη λήψη του email μας, αλλά δεν απάντησε στα επόμενα email που ζητούσαν σχόλια. Το εκτεθειμένο διακριτικό δεν είναι πλέον στο διαδίκτυο και ο ερευνητής είπε ότι η πρόσβαση του διακριτικού ανακλήθηκε αμέσως μετά την επικοινωνία μας.
Ρωτήσαμε επίσης τη Lane εάν το Home Depot διαθέτει τα τεχνικά μέσα, όπως αρχεία καταγραφής, για να προσδιορίσει εάν κάποιος άλλος χρησιμοποίησε το διακριτικό κατά τους μήνες που έμεινε στο διαδίκτυο για πρόσβαση σε οποιοδήποτε από τα εσωτερικά συστήματα του Home Depot. Δεν ακούσαμε πίσω.
Via: techcrunch.com
Related Posts
Το ελάττωμα στον ιστότοπο του κατασκευαστή φωτογραφικού θαλάμου εκθέτει τις φωτογραφίες των πελατών
Τα σφάλματα ασφαλείας στην εφαρμογή Freedom Chat εξέθεσαν τους αριθμούς τηλεφώνου και τα PIN των χρηστών
Πηγές: Η εκκίνηση συνθετικής έρευνας με τεχνητή νοημοσύνη Aaru αύξησε μια Σειρά Α σε αποτίμηση «επικεφαλίδας» $1 δις
