Home Depot expôs acesso a sistemas internos por um ano, diz pesquisador

Um pesquisador de segurança disse que a Home Depot expôs o acesso aos seus sistemas internos por um ano depois que um de seus funcionários publicou um token de acesso privado online, provavelmente por engano. O pesquisador encontrou o token exposto e tentou alertar de forma privada a Home Depot sobre sua falha de segurança, mas foi ignorado por várias semanas.

A exposição foi corrigida depois que o TechCrunch contatou representantes da empresa na semana passada.

O pesquisador de segurança Ben Zimmermann disse ao TechCrunch que, no início de novembro, encontrou um token de acesso GitHub publicado pertencente a um funcionário da Home Depot, que foi exposto no início de 2024.

Quando testou o token, Zimmermann disse que ele concedeu acesso a centenas de repositórios privados de código-fonte da Home Depot hospedados no GitHub e permitiu a capacidade de modificar seu conteúdo.

O pesquisador disse que as chaves permitiam acesso à infraestrutura em nuvem da Home Depot, incluindo seus sistemas de atendimento de pedidos e gerenciamento de estoque, e pipelines de desenvolvimento de código, entre outros sistemas. A Home Depot hospeda grande parte de sua infraestrutura de desenvolvedores e engenharia no GitHub desde 2015, de acordo com um perfil do cliente no site do GitHub.

Zimmermann disse que enviou vários e-mails para a Home Depot, mas não recebeu resposta.

Ele também não obteve resposta do diretor de segurança da informação da Home Depot, Chris Lanzilotta, após enviar uma mensagem pelo LinkedIn.

Zimmermann disse ao TechCrunch que divulgou várias exposições semelhantes nos últimos meses para empresas, que lhe agradeceram por suas descobertas.

“A Home Depot foi a única empresa que me ignorou”, disse ele.

Dado que a Home Depot não tem como relatar falhas de segurança, como divulgação de vulnerabilidades ou programa de recompensa de bugs, Zimmermann contatou o TechCrunch em um esforço para corrigir a exposição.

Quando contatado pelo TechCrunch em 5 de dezembro, o porta-voz da Home Depot, George Lane, acusou o recebimento de nosso e-mail, mas não respondeu aos e-mails de acompanhamento solicitando comentários. O token exposto não está mais online, e o pesquisador disse que o acesso ao token foi revogado logo após nossa divulgação.

Também perguntamos a Lane se a Home Depot possui meios técnicos, como registros, para determinar se alguém usou o token durante os meses em que ficou online para acessar qualquer um dos sistemas internos da Home Depot. Não tivemos resposta.