افشای دسترسی یک‌ساله به سامانه‌های داخلی هوم دیپو

یک پژوهشگر امنیتی اعلام کرد فروشگاه هوم‌دیپو به مدت یک سال دسترسی به سیستم‌های داخلی خود را در معرض دید قرار داده بود، پس از آنکه یکی از کارکنان این شرکت به احتمال زیاد به‌طور اشتباه توکن دسترسی خصوصی را به‌صورت آنلاین منتشر کرده بود. این پژوهشگر توکن فاش‌شده را پیدا کرده و تلاش کرد به صورت محرمانه این نقص امنیتی را به هوم‌دیپو اطلاع دهد، اما طی چندین هفته نادیده گرفته شد.

پس از تماس خبرنگار با نمایندگان شرکت، این مشکل امنیتی رفع شده است.

پژوهشگر امنیتی بن زیمرمن به منبع گفت که در اوایل آبان ۱۴۰۲، یک توکن دسترسی گیت‌هاب که مربوط به یکی از کارکنان هوم‌دیپو بود را پیدا کرده است؛ این توکن از اوایل سال ۱۴۰۳ افشا شده بود.

هنگامی که زیمرمن این توکن را آزمایش کرد، متوجه شد که امکان دسترسی به صدها مخزن کد خصوصی هوم‌دیپو در گیت‌هاب و همچنین قابلیت تغییر محتوای این مخازن را فراهم می‌کند.

او اعلام کرد کلیدها اجازه دسترسی به زیرساخت ابری هوم‌دیپو، شامل سامانه‌های تکمیل سفارشات، مدیریت موجودی کالا و خطوط توسعه کد و سایر سامانه‌ها را می‌دادند. بر اساس پروفایل مشتریان در سایت گیت‌هاب، هوم‌دیپو بخش عمده‌ای از زیرساخت توسعه‌دهندگان و مهندسی خود را از سال ۱۳۹۴ در گیت‌هاب میزبانی می‌کند.

زیمرمن گفت که چندین ایمیل به هوم‌دیپو ارسال کرده اما پاسخی دریافت نکرده است.

او همچنین پس از ارسال پیام از طریق لینکدین به مدیر ارشد امنیت اطلاعات هوم‌دیپو، کریس لانزیلوتا نیز پاسخی نگرفت.

زیمرمن به منبع گفت که در ماه‌های اخیر چندین افشای مشابه را به شرکت‌های دیگر اطلاع داده و بابت کشفیاتش از سوی آن‌ها تشکر شده است.

او گفت: «هوم‌دیپو تنها شرکتی بود که من را نادیده گرفت.»

با توجه به اینکه هوم‌دیپو روشی برای گزارش نقص‌های امنیتی مانند برنامه افشای آسیب‌پذیری یا پاداش رفع باگ ندارد، زیمرمن برای رفع این نقص با خبرنگار تماس گرفت.

هنگامی که خبرنگار در ۱۴ آذر ۱۴۰۳ با هوم‌دیپو تماس گرفت، سخنگوی شرکت، جورج لین دریافت ایمیل را تأیید کرد اما به ایمیل‌های بعدی برای توضیح بیشتر پاسخ نداد. توکن افشا شده دیگر به صورت آنلاین قابل مشاهده نیست و پژوهشگر اعلام کرد به محض تماس خبرنگار، دسترسی این توکن لغو شد.

همچنین از لین پرسیده شد که آیا هوم‌دیپو ابزار فنی مانند لاگ‌ها را در اختیار دارد تا مشخص کند آیا شخص دیگری طی ماه‌هایی که توکن منتشر بوده به سیستم‌های داخلی دسترسی پیدا کرده است یا نه. اما پاسخی دریافت نشد.