Bir güvenlik araştırmacısı, Home Depot'un, çalışanlarından birinin muhtemelen yanlışlıkla özel bir erişim belirtecini çevrimiçi yayınlaması sonucu, bir yıl boyunca dahili sistemlerine erişime açık bıraktığını iddia etti. Araştırmacı, maruz kalan belirteci bulduktan sonra Home Depot'u güvenlik açığı konusunda özel olarak uyarmaya çalıştı ancak birkaç hafta boyunca dikkate alınmadı. TechCrunch'ın geçen hafta şirket temsilcileriyle iletişime geçmesinin ardından açığın giderildiği bildirildi.
GİZLİ REZERVLERİN KAPI ARALANMASI
Güvenlik araştırmacısı Ben Zimmermann, TechCrunch'a yaptığı açıklamada, Kasım ayı başlarında Home Depot'a ait, 2024'ün başlarında bir tarihte çevrimiçi olarak yayınlanmış bir GitHub erişim belirtecini bulduğunu söyledi. Zimmermann, belirteci test ettiğinde, bunun GitHub'da barındırılan yüzlerce özel Home Depot kaynak kodu deposuna erişim sağladığını ve içeriklerini değiştirme olanağı tanıdığını belirtti. Araştırmacı, bu anahtarların, diğer sistemlerin yanı sıra, sipariş karşılama ve envanter yönetimi sistemleri ile kod geliştirme hatları dahil olmak üzere Home Depot'un bulut altyapısına erişim sağladığını söyledi.
İHMAL EDİLEN UYARILAR VE SON ÇARE
Home Depot, 2015'ten bu yana geliştirici ve mühendislik altyapısının büyük bir kısmını GitHub'da barındırıyor. Zimmermann, Home Depot'a birkaç e-posta gönderdiğini ancak yanıt alamadığını ifade etti. Ayrıca LinkedIn üzerinden Home Depot'un baş bilgi güvenliği görevlisi Chris Lanzilotta'ya bir mesaj gönderdikten sonra da bir yanıt alamadığını ekledi. Zimmermann, son aylarda şirketlere benzer birkaç güvenlik açığını bildirdiğini ve bu şirketlerin bulguları için kendisine teşekkür ettiğini ancak Home Depot'un kendisini görmezden gelen tek şirket olduğunu belirtti. Home Depot'un güvenlik kusurlarını bildirmek için bir güvenlik açığı ifşası veya hata ödül programı gibi bir yöntemi bulunmadığından, Zimmermann açığın giderilmesi amacıyla TechCrunch ile iletişime geçti. 5 Aralık'ta TechCrunch tarafından ulaşılan Home Depot sözcüsü George Lane, e-postalarının alındığını kabul etti ancak yorum talebiyle yapılan takip e-postalarına yanıt vermedi. Açığa çıkan belirteç artık çevrimiçi değil ve araştırmacı, bizim temasımızdan kısa bir süre sonra belirtecin erişiminin iptal edildiğini söyledi.
