DIGINEWS

Предупреждение о сборе статистики

DigiNews целенаправленно не собирает и не хранит историю визитов, но в работе использует счётчики, который могут собирать статистику посещений.

Измение этой статистики, её динамика помогает нам понимать предпочтения читателей и в какую сторону нам двигаться для улучшения. Ваше согласие нам поможет в этом.

Ссылка: [Политика безопасности dgnews.ru]

Исследователь: в течение года у Home Depot был открыт доступ к внутренним системам

Zack Whittaker
12.12.2025
Безопасность
безопасность,уязвимость,home depot,github,утечка данных,кибербезопасность

Исследователь безопасности обнаружил критическую уязвимость в Home Depot, которая раскрывала исходный код и облачные системы. Несмотря на попытки предупредить компанию, он был проигнорирован. Уязвимость устранена после вмешательства СМИ.

Уязвимость устранена после того, как TechCrunch связался с представителями компании на прошлой неделе.

Исследователь в области безопасности Бен Циммерманн сообщил TechCrunch, что в начале ноября он обнаружил опубликованный токен доступа GitHub, принадлежащий сотруднику Home Depot, который был раскрыт где-то в начале 2024 года. 

Когда он протестировал токен, Циммерманн заявил, что он предоставил доступ к сотням приватных репозиториев исходного кода Home Depot, размещенных на GitHub, и позволил изменять их содержимое. 

Исследователь сообщил, что ключи предоставляли доступ к облачной инфраструктуре Home Depot, включая системы обработки заказов и управления запасами, а также конвейеры разработки кода, среди прочих систем. По данным профиля клиента на сайте GitHub, Home Depot размещает большую часть своей инфраструктуры для разработчиков и инженеров на GitHub с 2015 года.

Циммерманн сообщил, что отправил несколько электронных писем в Home Depot, но не получил ответа. 

Он также не получил ответа от главного специалиста по информационной безопасности Home Depot Криса Ланцилотты после отправки сообщения через LinkedIn.

Циммерманн рассказал TechCrunch, что за последние месяцы он раскрыл несколько подобных уязвимостей компаниям, которые поблагодарили его за находки. 

«Home Depot — единственная компания, которая меня проигнорировала», — сказал он.

Учитывая, что Home Depot не имеет способа сообщать о проблемах безопасности, таких как программа раскрытия уязвимостей или программа поиска ошибок, Циммерманн обратился в TechCrunch, чтобы исправить уязвимость.

Когда TechCrunch связался с Home Depot 5 декабря, представитель компании Джордж Лейн подтвердил получение нашего электронного письма, но не ответил на последующие письма с просьбой прокомментировать ситуацию. Раскрытый токен больше не был в сети, и исследователь сообщил, что доступ по токену был отозван вскоре после нашего обращения.

Мы также спросили Лейна, есть ли у Home Depot технические средства, такие как журналы, для определения того, использовал ли кто-либо еще токен в течение месяцев, пока он находился в сети, для доступа к каким-либо внутренним системам Home Depot. Мы не получили ответа.

Автор – Zack Whittaker

Оригинал статьи