Відверта правда: Home Depot під прицілом — рік небезпечного доступу до внутрішніх систем
1 min read

Відверта правда: Home Depot під прицілом — рік небезпечного доступу до внутрішніх систем

Плахотнюк Сергій0

Home Depot, один з найбільших роздрібних продавців у США, опинився в центрі уваги через серйозну вразливість у своїй системі безпеки. За даними дослідника з питань безпеки, протягом року компанія ненавмисно забезпечила доступ до своїх внутрішніх систем після того, як один з її працівників опублікував приватний токен доступу в мережі. Цей токен відкривав можливість доступу до численних приватних репозиторіїв коду на GitHub, за допомогою яких зберігається основна інфраструктура компанії.

Дослідник Бен Циммерман, який виявив цей серйозний недолік, детально розповів, що токен надавав доступ не лише до вихідного коду, а й до критичних компонентів, таких як управління запасами та виконання замовлень. Він намагався попередити Home Depot про цю загрозу, проте не отримав жодної відповіді протягом кількох тижнів, навіть після повторних спроб через електронну пошту та LinkedIn.

Циммерман зауважив, що в минулі місяці він у численних випадках повідомляв іншим компаніям про подібні вразливості, отримуючи вдячність за свої зусилля. Однак у випадку з Home Depot, він залишився без відповіді, що викликало у нього занепокоєння щодо обслуговування політики безпеки компанії. Важливо відзначити, що Home Depot наразі не має налагоджених механізмів для повідомлення про вразливості та програм винагород за їх виявлення.

Ситуація змінилася лише після того, як Циммерман звернувся до журналістів TechCrunch, щоб викликати необхідну реакцію. Після нашого запиту представник Home Depot підтвердив, що токен більше не доступний, і за його словами, доступ, наданий токеном, був відкликаний.

Проте питання залишаються: чи був токен використаний кимось іншим протягом того часу, поки він знаходився в загальному доступі? Запити про можливі дії з боку третьої сторони залишилися без коментарів. Цей інцидент знову підкреслює важливість належного управління безпекою даних, особливо в умовах, коли компанії все більше покладаються на хмарні технології для зберігання критичних систем та даних.

Related Posts