- A Home Depot expôs um token GitHub por um ano, dando acesso a sistemas internos críticos
- Os avisos dos pesquisadores foram ignorados até a intervenção da mídia, após o que o token foi invalidado
- Vazamentos semelhantes no GitHub/GitLab mostram os perigos de segredos codificados e repositórios mal configurados
A Home Depot manteve o acesso aos seus sistemas internos aberto por mais de um ano para qualquer pessoa que soubesse onde procurar, alertam os especialistas.
O pesquisador de segurança Ben Zimmermann descobriu recentemente um token de acesso GitHub publicado pertencente a um funcionário da Home Depot.
O token foi exposto no início de 2024, possivelmente devido a um bug, e forneceu acesso a “centenas de repositórios privados de código-fonte da Home Depot” hospedados no GitHub. Zimmermann disse que o token lhe permitiu alterar o conteúdo desses repositórios.
Um problema comum
Os tokens deram ao pesquisador acesso à infraestrutura em nuvem da empresa, atendimento de pedidos e sistemas de gerenciamento de estoque, bem como pipelines de desenvolvimento de código.
Zimmermann disse ainda que tentou entrar em contato com a Home Depot diversas vezes e por diversos canais, mas foi recebido em silêncio.
Somente depois de relatar suas descobertas TechCrunch o buraco foi tapado quando a publicação chegou à empresa, que confirmou que o token foi removido no início de dezembro, e o acesso foi removido.
Os tokens de acesso do GitHub são frequentemente deixados para trás durante o desenvolvimento de software e, como tal, oferecem uma oportunidade única para hackers que procuram uma maneira fácil de entrar na infraestrutura corporativa.
Um pesquisador de segurança descobriu recentemente milhares de segredos em repositórios públicos do GitLab Cloud, demonstrando como os desenvolvedores de software involuntariamente colocam seus projetos em risco de ataques cibernéticos. Luke Marshall revela como escaneou GitLab Cloud, Bitbucket e Common Crawl em busca de coisas como chaves de API, senhas ou tokens e, infelizmente, encontrou muitos.
E em Abril de 2025, os investigadores de segurança GreyNoise alertaram que os actores de ameaças de Singapura estavam à procura de organizações no país que pudessem ser violadas e exploradas. Na época, os cibercriminosos procuravam cada vez mais arquivos de configuração Git expostos.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
