セキュリティ研究者は、ホームデポが内部システムへのアクセスを1年間露出していたと発表しました。これは、社員が誤ってプライベートアクセス用トークンをオンラインに公開したことが原因であるということです。研究者は露出したトークンを発見し、ホームデポにこのセキュリティの問題を非公開で知らせようとしましたが、数週間にわたり無視されたとしています。
この露出は、先週テッククランチが会社の代表者に連絡した後、修正されました。セキュリティ研究者のベン・ジマーマン氏は、11月初旬にホームデポの社員に属するGitHubアクセス用トークンが公開されているのを発見したと述べています。このトークンは2024年初頭に露出したということです。
ジマーマン氏がトークンをテストしたところ、ホームデポのGitHubにホストされている数百のプライベートソースコードリポジトリへのアクセスが可能であり、その内容を変更する能力があったとしています。さらに、このキーはホームデポのクラウドインフラストラクチャへのアクセスも許可しており、注文履行や在庫管理システム、コード開発パイプラインなどに影響を及ぼす可能性があると述べています。ホームデポは2015年からGitHub上に開発およびエンジニアリングインフラストラクチャをホストしている方針です。
ジマーマン氏はホームデポに数回メールを送ったが返事はなかったと述べています。また、LinkedInを通じてホームデポの最高情報セキュリティ責任者であるクリス・ランジロッタ氏にメッセージを送ったが、返事はなかったということです。
ジマーマン氏は最近、他の企業にも同様の露出を報告し、感謝されたと述べていますが、「ホームデポだけが私を無視した」と述べています。ホームデポには脆弱性開示やバグ報奨金プログラムなどのセキュリティ欠陥を報告する手段がないため、ジマーマン氏は露出を修正するためにテッククランチに連絡したということです。
12月5日にテッククランチがホームデポに連絡した際、広報担当のジョージ・レーン氏はメールを受け取ったことを認めましたが、コメントを求める後続のメールには返答しませんでした。露出したトークンはすでにオンライン上に存在せず、研究者によると、私たちの連絡後すぐにトークンのアクセスが取り消されたということです。
また、ホームデポが技術的な手段、例えばログを用いて他に誰かがトークンを使用してホームデポの内部システムにアクセスしたかどうかを確認できるかどうかを尋ねましたが、返答はありませんでした。