Un investigador de seguridad dijo que Home Depot expuso el acceso a sus sistemas internos durante un año después de que uno de sus empleados probablemente publicara accidentalmente un token de acceso privado en línea. El investigador encontró el token expuesto e intentó alertar de forma privada a Home Depot sobre la vulnerabilidad, pero fue ignorado durante varias semanas.
La revelación ahora se resuelve después de que TechCrunch se comunicara con representantes de la compañía la semana pasada.
El investigador de seguridad Ben Zimmermann le dijo a TechCrunch que encontró un token de acceso de GitHub publicado a principios de noviembre que pertenecía a un empleado de Home Depot y estuvo expuesto en algún momento a principios de 2024.
Cuando probó el token, Zimmermann dijo que otorgaba acceso a cientos de repositorios privados de código fuente de Home Depot alojados en GitHub y la capacidad de modificar su contenido.
El investigador dijo que las claves proporcionaron acceso a la infraestructura en la nube de Home Depot, incluidos sus sistemas de cumplimiento de pedidos y gestión de inventario, así como canales de desarrollo de código y otros sistemas. Según un perfil de cliente en el sitio web de GitHub, Home Depot ha alojado gran parte de su infraestructura de desarrollo e ingeniería en GitHub desde 2015.
Zimmermann dijo que envió varios correos electrónicos a Home Depot pero no recibió respuesta.
Tampoco recibió respuesta del director de seguridad de la información de Home Depot, Chris Lanzilotta, después de enviar un mensaje a través de LinkedIn.
Zimmermann le dijo a TechCrunch que ha hecho varias revelaciones similares en los últimos meses a empresas que le han agradecido sus ideas.
“Home Depot es la única empresa que me ignoró”, dijo.
Debido a que Home Depot no tiene forma de informar fallas de seguridad, como la divulgación de vulnerabilidades o un programa de recompensas por errores, Zimmermann recurrió a TechCrunch para solucionar la vulnerabilidad.
Cuando TechCrunch lo contactó el 5 de diciembre, el portavoz de Home Depot, George Lane, confirmó la recepción de nuestro correo electrónico, pero no respondió a los correos electrónicos de seguimiento en busca de comentarios. El token revelado ya no está en línea y el investigador dijo que el acceso al token fue revocado poco después de que nos contactáramos.
También le preguntamos a Lane si Home Depot tiene los medios técnicos, como protocolos, para determinar si alguien más usó el token para acceder a alguno de los sistemas internos de Home Depot durante los meses que estuvo en línea. No hemos recibido respuesta.
About The Author
