Token GitHub Home Depot terekspos selama setahun dan memungkinkan akses ke sistem internal

 (techcrunch.com)
1 poin oleh GN⁺ 2025-12-14 | Belum ada komentar. | Bagikan ke WhatsApp
  • Seorang peneliti keamanan mengungkap bahwa token akses GitHub yang tanpa sengaja dipublikasikan online oleh karyawan Home Depot membuat sistem internal perusahaan terekspos ke luar selama satu tahun
  • Token tersebut memberikan hak akses dan modifikasi ke ratusan repositori kode sumber privat, serta memungkinkan akses ke infrastruktur cloud, pemrosesan pesanan, dan sistem manajemen inventaris
  • Peneliti itu beberapa kali mengirim email dan pesan LinkedIn ke Home Depot, tetapi tidak mendapat tanggapan selama berminggu-minggu
  • Home Depot baru memperbaiki paparan tersebut dan mencabut akses token setelah TechCrunch menghubungi mereka
  • Home Depot tidak memiliki mekanisme pelaporan kerentanan atau program bug bounty, sehingga insiden ini menyoroti masalah ketiadaan sistem respons keamanan

Ringkasan insiden paparan akses ke sistem internal Home Depot

  • Seorang peneliti keamanan menemukan token akses privat yang dipublikasikan online oleh seorang karyawan Home Depot
    • Token ini diperkirakan telah terekspos sejak awal 2024
    • Melalui token tersebut, peneliti memastikan bahwa ia dapat mengakses dan memodifikasi ratusan repositori GitHub milik Home Depot
  • Kunci yang terekspos itu memungkinkan akses ke berbagai sistem internal Home Depot seperti infrastruktur cloud, sistem pemrosesan pesanan, sistem manajemen inventaris, dan pipeline pengembangan kode
    • Home Depot telah menghosting sebagian besar infrastruktur pengembangan dan rekayasanya di GitHub sejak 2015

Peringatan peneliti dan respons perusahaan

  • Peneliti Ben Zimmermann beberapa kali mengirim email ke Home Depot, tetapi tidak mendapat tanggapan selama berminggu-minggu
    • Ia juga mengirim pesan LinkedIn kepada kepala keamanan informasi (CISO) Home Depot, Chris Lanzilotta, tetapi tidak mendapat jawaban
  • Dalam beberapa bulan terakhir, Zimmermann melihat kasus paparan serupa di perusahaan lain, dan sebagian besar perusahaan tersebut menyampaikan apresiasi
    • Ia mengatakan, “Hanya Home Depot yang mengabaikan saya”

Langkah setelah intervensi TechCrunch

  • Home Depot tidak memiliki program pelaporan kerentanan atau bug bounty
    • Karena itu, Zimmermann menghubungi TechCrunch untuk meminta bantuan penyelesaian masalah
  • Ketika TechCrunch menghubungi juru bicara Home Depot, George Lane, pada 5 Desember, ia mengonfirmasi penerimaan email tersebut, tetapi kemudian tidak menjawab pertanyaan lanjutan
  • Setelah itu, token yang terekspos dihapus dari internet, dan hak aksesnya juga dicabut segera setelah kontak dari TechCrunch

Permintaan verifikasi tambahan dan tidak ada tanggapan

  • TechCrunch menanyakan apakah Home Depot dapat memverifikasi melalui cara teknis seperti log apakah token tersebut pernah digunakan oleh pihak lain, tetapi tidak menerima jawaban
  • Karena itu, apakah benar terjadi akses eksternal atau seberapa besar dampaknya masih belum dapat dipastikan

Makna insiden ini

  • Kasus ini menunjukkan bahwa bahkan di perusahaan besar, kegagalan dasar dalam pengelolaan kunci akses dapat dibiarkan terlalu lama
  • Insiden ini juga memperlihatkan bahwa ketiadaan sistem pelaporan kerentanan keamanan dapat menunda penyelesaian masalah
  • Fakta bahwa tindakan baru diambil setelah intervensi TechCrunch menyoroti pentingnya pengawasan eksternal

Bacaan terkait

Belum ada komentar.

Belum ada komentar.