يقول الباحث إن هوم ديبوت كشفت عن إمكانية الوصول إلى الأنظمة الداخلية لمدة عام
قال أحد الباحثين الأمنيين إن شركة Home Depot كشفت عن إمكانية الوصول إلى أنظمتها الداخلية لمدة عام بعد أن نشر أحد موظفيها رمز وصول خاصًا عبر الإنترنت، على الأرجح عن طريق الخطأ. عثر الباحث على الرمز المكشوف وحاول تنبيه Home Depot بشكل خاص إلى ثغرته الأمنية ولكن تم تجاهله لعدة أسابيع.
تم إصلاح التعرض الآن بعد أن اتصلت TechCrunch بممثلي الشركة الأسبوع الماضي.
قال الباحث الأمني بن زيمرمان لموقع TechCrunch إنه عثر في أوائل نوفمبر على رمز وصول منشور إلى GitHub يخص أحد موظفي Home Depot، والذي تم الكشف عنه في وقت ما في أوائل عام 2024.
عندما اختبر الرمز المميز، قال زيمرمان إنه يمنح الوصول إلى مئات من مستودعات كود المصدر الخاصة بـ Home Depot المستضافة على GitHub ويسمح بالقدرة على تعديل محتوياتها.
وقال الباحث إن المفاتيح سمحت بالوصول إلى البنية التحتية السحابية لشركة Home Depot، بما في ذلك أنظمة تلبية الطلبات وإدارة المخزون، وخطوط تطوير التعليمات البرمجية، من بين أنظمة أخرى. استضافت Home Depot الكثير من البنية التحتية للمطورين والهندسة على GitHub منذ عام 2015، وفقًا لملف تعريف العميل على موقع GitHub.
وقال زيمرمان إنه أرسل عدة رسائل بريد إلكتروني إلى هوم ديبوت لكنه لم يتلق أي رد.
كما أنه لم يحصل على رد من كريس لانزيلوتا، كبير مسؤولي أمن المعلومات في هوم ديبوت، بعد إرسال رسالة عبر LinkedIn.
أخبر زيمرمان موقع TechCrunch أنه كشف عن العديد من حالات التعرض المماثلة في الأشهر الأخيرة للشركات، التي شكرته على النتائج التي توصل إليها.
قال: “هوم ديبوت هي الشركة الوحيدة التي تجاهلتني”.
نظرًا لأن Home Depot ليس لديها طريقة للإبلاغ عن العيوب الأمنية، مثل الكشف عن الثغرات الأمنية أو برنامج مكافأة الأخطاء، اتصل Zimmermann بـ TechCrunch في محاولة لإصلاح التعرض.
عندما تواصلت TechCrunch مع المتحدث باسم Home Depot في 5 ديسمبر، أقر جورج لين باستلام بريدنا الإلكتروني ولكنه لم يرد على رسائل البريد الإلكتروني للمتابعة التي تطلب التعليق. لم يعد الرمز المكشوف متاحًا عبر الإنترنت، وقال الباحث إنه تم إلغاء الوصول إلى الرمز المميز بعد وقت قصير من تواصلنا معه.
لقد سألنا أيضًا Lane عما إذا كان لدى Home Depot الوسائل التقنية، مثل السجلات، لتحديد ما إذا كان أي شخص آخر قد استخدم الرمز المميز خلال الأشهر التي بقي فيها على الإنترنت للوصول إلى أي من أنظمة Home Depot الداخلية. لم نسمع ردا.
