Caçadores de Tecnologia Mantenha-se atualizado com as últimas novidades tecnológicas! Análises, tutoriais e lançamentos de celulares, TVs e mais. Junte-se aos Caçadores de Tecnologia!
Um especialista em segurança revelou que a Home Depot manteve o acesso aos seus sistemas internos vulnerável por um ano, após um de seus colaboradores publicar, provavelmente por acidente, uma chave de acesso privada na internet. O profissional identificou a chave exposta e tentou notificar a empresa de forma confidencial sobre a brecha, mas não obteve resposta por diversas semanas.
A falha foi corrigida após a imprensa entrar em contato com os representantes da companhia na semana passada.
O pesquisador de segurança Ben Zimmermann relatou que, no começo de novembro, ele encontrou um token de acesso do GitHub divulgado publicamente que pertencia a um funcionário da Home Depot, e que havia sido exposto em algum momento do início de 2024.
Ao testar a chave, Zimmermann afirmou que ela permitia o ingresso em centenas de repositórios de código-fonte privados da empresa armazenados no GitHub e concedia a possibilidade de alterar seu conteúdo.
O especialista explicou que as credenciais possibilitavam o acesso à infraestrutura de nuvem da Home Depot, incluindo seus sistemas de processamento de pedidos e controle de estoque, além de pipelines de desenvolvimento de software, entre outros. A varejista hospeda grande parte de sua estrutura de desenvolvimento e engenharia no GitHub desde 2015, conforme um perfil de cliente no site da plataforma.
Zimmermann disse que enviou múltiplos e-mails para a Home Depot, mas não recebeu retorno. Ele também não obteve resposta do diretor de segurança da informação da empresa, Chris Lanzilotta, após enviar uma mensagem pelo LinkedIn.
O pesquisador comentou que já reportou várias exposições semelhantes para outras corporações nos últimos meses, que agradeceram por suas descobertas. ‘A Home Depot foi a única empresa que me ignorou’, declarou ele.
Como a Home Depot não possui um canal formal para reportar falhas de segurança, como um programa de divulgação responsável de vulnerabilidades ou de recompensa por bugs, Zimmermann recorreu à imprensa na tentativa de resolver a exposição.
Quando contatado em 5 de dezembro, o porta-voz da Home Depot, George Lane, confirmou o recebimento do e-mail, mas não respondeu a mensagens subsequentes solicitando comentários. A chave exposta não está mais disponível online, e o pesquisador afirmou que o acesso foi revogado logo após o contato da mídia.
A reportagem também questionou se a empresa possui os recursos técnicos, como registros de acesso, para verificar se alguém mais utilizou o token durante os meses em que ele ficou exposto para acessar qualquer um dos sistemas internos. Não houve resposta.
