Token GitHub Home Depot terekspos selama setahun dan memungkinkan akses ke sistem internal

 (techcrunch.com)
1 poin oleh GN⁺ 2025-12-14 | 1 komentar | Bagikan ke WhatsApp
  • Seorang peneliti keamanan mengungkap bahwa token akses GitHub yang tanpa sengaja dipublikasikan online oleh karyawan Home Depot membuat sistem internal perusahaan terekspos ke luar selama satu tahun
  • Token tersebut memberikan hak akses dan modifikasi ke ratusan repositori kode sumber privat, serta memungkinkan akses ke infrastruktur cloud, pemrosesan pesanan, dan sistem manajemen inventaris
  • Peneliti itu beberapa kali mengirim email dan pesan LinkedIn ke Home Depot, tetapi tidak mendapat tanggapan selama berminggu-minggu
  • Home Depot baru memperbaiki paparan tersebut dan mencabut akses token setelah TechCrunch menghubungi mereka
  • Home Depot tidak memiliki mekanisme pelaporan kerentanan atau program bug bounty, sehingga insiden ini menyoroti masalah ketiadaan sistem respons keamanan

Ringkasan insiden paparan akses ke sistem internal Home Depot

  • Seorang peneliti keamanan menemukan token akses privat yang dipublikasikan online oleh seorang karyawan Home Depot
    • Token ini diperkirakan telah terekspos sejak awal 2024
    • Melalui token tersebut, peneliti memastikan bahwa ia dapat mengakses dan memodifikasi ratusan repositori GitHub milik Home Depot
  • Kunci yang terekspos itu memungkinkan akses ke berbagai sistem internal Home Depot seperti infrastruktur cloud, sistem pemrosesan pesanan, sistem manajemen inventaris, dan pipeline pengembangan kode
    • Home Depot telah menghosting sebagian besar infrastruktur pengembangan dan rekayasanya di GitHub sejak 2015
Iklan

Peringatan peneliti dan respons perusahaan

  • Peneliti Ben Zimmermann beberapa kali mengirim email ke Home Depot, tetapi tidak mendapat tanggapan selama berminggu-minggu
    • Ia juga mengirim pesan LinkedIn kepada kepala keamanan informasi (CISO) Home Depot, Chris Lanzilotta, tetapi tidak mendapat jawaban
  • Dalam beberapa bulan terakhir, Zimmermann melihat kasus paparan serupa di perusahaan lain, dan sebagian besar perusahaan tersebut menyampaikan apresiasi
    • Ia mengatakan, “Hanya Home Depot yang mengabaikan saya”
Iklan

Langkah setelah intervensi TechCrunch

  • Home Depot tidak memiliki program pelaporan kerentanan atau bug bounty
    • Karena itu, Zimmermann menghubungi TechCrunch untuk meminta bantuan penyelesaian masalah
  • Ketika TechCrunch menghubungi juru bicara Home Depot, George Lane, pada 5 Desember, ia mengonfirmasi penerimaan email tersebut, tetapi kemudian tidak menjawab pertanyaan lanjutan
  • Setelah itu, token yang terekspos dihapus dari internet, dan hak aksesnya juga dicabut segera setelah kontak dari TechCrunch

Permintaan verifikasi tambahan dan tidak ada tanggapan

  • TechCrunch menanyakan apakah Home Depot dapat memverifikasi melalui cara teknis seperti log apakah token tersebut pernah digunakan oleh pihak lain, tetapi tidak menerima jawaban
  • Karena itu, apakah benar terjadi akses eksternal atau seberapa besar dampaknya masih belum dapat dipastikan

Makna insiden ini

  • Kasus ini menunjukkan bahwa bahkan di perusahaan besar, kegagalan dasar dalam pengelolaan kunci akses dapat dibiarkan terlalu lama
  • Insiden ini juga memperlihatkan bahwa ketiadaan sistem pelaporan kerentanan keamanan dapat menunda penyelesaian masalah
  • Fakta bahwa tindakan baru diambil setelah intervensi TechCrunch menyoroti pentingnya pengawasan eksternal

Bacaan terkait

1 komentar

 
GN⁺ 2025-12-14
Komentar Hacker News

  • TechCrunch sudah menghubungi Home Depot soal token akses yang terekspos, tetapi perusahaan tampaknya menyerahkan urusan ini ke tim legal lalu masuk mode diam
    Mungkin pernyataan resmi yang nanti keluar akan berupa kalimat penghindaran tanggung jawab yang penuh bahasa hukum

    • Karena itu, dalam kasus seperti ini aku juga langsung menghubungi tim legal lewat surat
      Bisa jadi memang isu hukum sungguhan, jadi setidaknya ada orang di sana yang akan membaca dan menindaklanjutinya
      Dulu saat sebuah bank memutus kontak denganku karena masalah verifikasi identitas, satu surat langsung menyelesaikannya
    • Di lingkungan sekarang yang penuh risiko gugatan, menurutku respons Home Depot adalah pilihan yang realistis
      Tentu kita ingin melihat laporan analisis internal, tetapi di dunia yang berpusat pada pemegang saham, kehati-hatian seperti ini nyaris tak terhindarkan

  • Minggu lalu aku tak sengaja mengekspos kunci API OpenAI, Anthropic, dan Gemini milikku
    Kunci itu tercetak mentah di log Claude Code, dan Anthropic langsung mengirim email lalu menonaktifkan kuncinya
    Sebaliknya, OpenAI dan Google tidak mengirim pemberitahuan apa pun
    Khusus kunci Gemini dari Google, hanya untuk menemukannya saja butuh 10–15 menit, dan kuncinya masih tampak aktif
    Semakin marak vibe coding, semakin penting kebersihan pengelolaan kunci baik bagi penerbit maupun pengguna

    • Saat pengelolaan kunci jadi sepecah ini, malah rasa cemas soal keamanan makin besar dan aku juga jadi tidak yakin sebenarnya sedang melakukan apa
    • Begitu mendengar istilah “vibe coding”, bulu kudukku langsung berdiri
      Sudah banyak insiden keamanan akibat brogramming, dan ini bisa membuatnya 100 kali lebih parah
    • Aku penasaran bagaimana kuncinya bisa bocor
      Kalau cuma tertinggal di log Claude Code, cukup mengejutkan kalau Google bisa menyadarinya

  • Dulu aku juga pernah tak sengaja mengunggah GitHub PAT pribadi ke repositori publik
    Setiap kali itu terjadi, GitHub langsung menonaktifkan tokennya dan mengirim pemberitahuan

    • Fitur deteksi token otomatis GitHub cukup mengesankan
      Dalam kasusku tidak ada dampak besar, tetapi sistemnya bekerja dengan baik

  • Seperti lelucon “Home Depot 2x4”, kalau selama setahun orang bisa bebas mengambil material sepuasnya, rasanya pasti ada yang sempat membuat bola kayu

    • Tapi aku tidak tahu seberapa tahan kayu di lingkungan laut dalam

  • Aku sedang memikirkan cara yang baik untuk menangani manajemen secret
    Saat ini aku masih login SSH secara manual lalu mengedit file .env

    • Untuk satu aplikasi saja, file .env sebenarnya sudah cukup
      Toh kalau aplikasinya dibobol, secret akan tetap ada di memori sehingga kebocoran tak bisa sepenuhnya dihindari
      Kalau memungkinkan, menerapkan pembatasan akses berbasis IP adalah pertahanan paling kuat
    • Dengan SOPS, cakupan yang perlu dikelola bisa diperkecil
      Jika memakai Age sebagai backend, server cukup menyimpan satu private key jangka panjang
    • Atau bisa juga memanfaatkan fitur secret native dari platform VM atau API 1Password

  • Seseorang bertanya, “Kerusakan apa yang sebenarnya bisa dilakukan dengan informasi itu?”

    • Orang bisa mengunduh seluruh source code internal lalu menganalisis kerentanannya,
      atau jika GitHub dipakai untuk deployment, menyisipkan fungsi berbahaya ke production
    • Misalnya, grup peretas Atlas Lion menargetkan sistem internal peritel besar
      dan menghasilkan uang lewat pencurian gift card
      Belakangan juga ada kasus menembus AWS melalui GitHub milik Salesloft lalu mencuri token OAuth untuk mengakses ratusan akun pelanggan Salesforce

  • Sulit membedakan apakah string yang terpublikasi itu benar-benar kunci API atau hanya nilai acak biasa

    • Karena itu, sekarang banyak layanan menambahkan prefix seperti pat_ atau sk_ di depan kunci

  • Ungkapan “Open Source Home Depot” terdengar anehnya pas

  • Cukup mengejutkan bahwa GitHub atau OpenAI tidak menyediakan otomatisasi pemindaian hash token secara mandiri
    Rasanya itu bisa diimplementasikan dengan cukup sederhana demi keamanan pelanggan
    Ada yang mengusulkan bagaimana kalau dibuat layanan pemindaian yang independen dari platform

    • GitHub sebenarnya sudah menjalankan program secret scanning
      Dulu kalau token Discord terekspos, tokennya langsung dinonaktifkan dan akun sistem akan mengirim DM
    • Pemindaian GitHub cukup canggih
      Menurut dokumentasi resmi,
      GitHub otomatis memvalidasi pola untuk penyedia utama dan, bila perlu, otomatis mencabut token
      Hanya saja, token yang terekspos di luar GitHub lebih sulit dideteksi
    • Meski begitu, masih ada banyak kasus yang lolos
      Aku kadang melaporkan kunci yang bocor lewat program bug bounty
      Sayangnya Home Depot tidak punya bug bounty
    • Aku penasaran apakah token itu ditemukan di commit repositori publik
      Bahkan dengan scanner gratis GitHub, itu seharusnya bisa dideteksi
    • GitHub punya kemitraan dengan berbagai penyedia SaaS/PaaS untuk validasi dan pencabutan token otomatis

  • Ada juga yang menyebut bahwa data sistem internal ini bisa saja dipakai untuk tindakan setingkat insider trading