Seorang peneliti keamanan mengatakan House Depot mengungkap akses ke sistem internalnya selama setahun setelah salah satu karyawannya menerbitkan token akses pribadi secara on-line, kemungkinan besar karena kesalahan. Peneliti menemukan token yang terekspos dan mencoba memperingatkan House Depot secara pribadi tentang kelemahan keamanannya tetapi diabaikan selama beberapa minggu.
Eksposur tersebut kini diperbaiki setelah TechCrunch menghubungi perwakilan perusahaan minggu lalu.
Peneliti keamanan Ben Zimmerman mengatakan kepada TechCrunch bahwa, pada awal November, dia menemukan token akses GitHub yang diterbitkan milik seorang karyawan House Depot, yang terungkap sekitar awal tahun 2024.
Saat dia menguji token tersebut, Zimmermann mengatakan bahwa token tersebut memberikan akses ke ratusan repositori kode sumber House Depot pribadi yang dihosting di GitHub dan memungkinkan kemampuan untuk mengubah kontennya.
Peneliti mengatakan kunci tersebut memungkinkan akses ke infrastruktur cloud House Depot, termasuk pemenuhan pesanan dan sistem manajemen inventaris, serta jalur pengembangan kode, dan sistem lainnya. House Depot telah menampung sebagian besar pengembang dan infrastruktur tekniknya di GitHub sejak 2015, menurut a profil pelanggan di situs web GitHub.
Zimmermann mengatakan dia mengirim beberapa e mail ke House Depot tetapi tidak mendapat balasan.
Dia juga tidak mendapat tanggapan dari kepala petugas keamanan informasi House Depot, Chris Lanzilotta, setelah mengirimkan pesan melalui LinkedIn.
Zimmermann mengatakan kepada TechCrunch bahwa dia telah mengungkapkan beberapa paparan serupa dalam beberapa bulan terakhir kepada perusahaan, yang berterima kasih atas temuannya.
“House Depot adalah satu-satunya perusahaan yang mengabaikan saya,” katanya.
Mengingat House Depot tidak memiliki cara untuk melaporkan kelemahan keamanan, seperti pengungkapan kerentanan atau program bug bounty, Zimmermann menghubungi TechCrunch dalam upaya untuk memperbaiki paparan tersebut.
Saat dihubungi oleh TechCrunch pada tanggal 5 Desember, juru bicara House Depot George Lane mengakui telah menerima e mail kami tetapi tidak menanggapi e mail tindak lanjut yang meminta komentar. Token yang terekspos tidak lagi on-line, dan peneliti mengatakan akses token tersebut dicabut segera setelah penjangkauan kami.
Kami juga bertanya kepada Lane apakah House Depot memiliki sarana teknis, seperti log, untuk menentukan apakah ada orang lain yang menggunakan token tersebut selama beberapa bulan token tersebut dibiarkan on-line untuk mengakses sistem inner House Depot. Kami tidak mendapat balasan.
