هوم دیپو به مدت یک سال دسترسی به سیستم‌های داخلی خود را در معرض خطر قرار داده بود

یک محقق امنیتی گفت که هوم دیپو دسترسی به سیستم‌های داخلی خود را به مدت یک سال در معرض خطر قرار داده بود، پس از اینکه یکی از کارمندانش یک توکن دسترسی خصوصی را به صورت آنلاین منتشر کرد، که احتمالاً به اشتباه بوده است. این محقق توکن در معرض خطر را پیدا کرد و سعی کرد تا به صورت خصوصی هوم دیپو را از نقص امنیتی آن مطلع کند، اما برای چندین هفته نادیده گرفته شد.

این افشاگری اکنون پس از تماس تک‌کرانچ با نمایندگان شرکت در هفته گذشته، برطرف شده است.

بن زیمرمن، محقق امنیتی، به تک‌کرانچ گفت که در اوایل نوامبر، او یک توکن دسترسی گیت‌هاب منتشر شده متعلق به یکی از کارمندان هوم دیپو را پیدا کرد که در اوایل سال ۲۰۲۴ در معرض خطر قرار گرفته بود.

زیمرمن گفت وقتی توکن را آزمایش کرد، دسترسی به صدها مخزن کد منبع خصوصی هوم دیپو را که در گیت‌هاب میزبانی می‌شدند، فراهم می‌کرد و امکان تغییر محتوای آن‌ها را می‌داد.

این محقق گفت که این کلیدها دسترسی به زیرساخت ابری هوم دیپو، از جمله سیستم‌های مدیریت سفارش و موجودی، و خطوط لوله توسعه کد، در میان سایر سیستم‌ها را فراهم می‌کردند. طبق یک پروفایل مشتری در وب‌سایت گیت‌هاب، هوم دیپو از سال ۲۰۱۵ بسیاری از زیرساخت‌های توسعه‌دهنده و مهندسی خود را در گیت‌هاب میزبانی کرده است.

زیمرمن گفت که چندین ایمیل به هوم دیپو ارسال کرده اما پاسخی دریافت نکرده است.

او همچنین پس از ارسال پیامی از طریق لینکدین، پاسخی از کریس لانزیلوتا، مدیر ارشد اطلاعات امنیتی هوم دیپو، دریافت نکرد.

زیمرمن به تک‌کرانچ گفت که در ماه‌های اخیر چندین افشاگری مشابه را به شرکت‌ها اعلام کرده است که از یافته‌های او تشکر کرده‌اند.

او گفت: "هوم دیپو تنها شرکتی بود که مرا نادیده گرفت."

با توجه به اینکه هوم دیپو راهی برای گزارش نقص‌های امنیتی، مانند برنامه افشای آسیب‌پذیری یا پاداش باگ، ندارد، زیمرمن برای رفع این افشاگری با تک‌کرانچ تماس گرفت.

هنگامی که در ۵ دسامبر توسط تک‌کرانچ با او تماس گرفته شد، جورج لین، سخنگوی هوم دیپو، دریافت ایمیل ما را تأیید کرد اما به ایمیل‌های بعدی که برای اظهار نظر خواسته بودند، پاسخ نداد. توکن در معرض خطر دیگر آنلاین نیست و این محقق گفت که دسترسی به توکن به زودی پس از تماس ما لغو شد.

ما همچنین از لین پرسیدیم که آیا هوم دیپو ابزارهای فنی، مانند لاگ‌ها، برای تعیین اینکه آیا شخص دیگری از توکن در طول ماه‌هایی که آنلاین بود برای دسترسی به هر یک از سیستم‌های داخلی هوم دیپو استفاده کرده است، دارد یا خیر. ما پاسخی دریافت نکردیم.