- Home Depot mengekspos token GitHub selama satu tahun, memberikan akses ke sistem internal penting
- Peringatan peneliti diabaikan sampai media melakukan intervensi, setelah itu token dicabut
- Kebocoran serupa di GitHub/GitLab menunjukkan risiko luas dari rahasia yang di-hardcode dan repo yang salah dikonfigurasi
Home Depot tetap membuka akses ke sistem internalnya selama lebih dari satu tahun, bagi siapa saja yang tahu di mana mencarinya, para ahli telah memperingatkan.
Peneliti keamanan Ben Zimmermann baru-baru ini menemukan token akses GitHub yang diterbitkan milik karyawan Home Depot.
Token tersebut terekspos, kemungkinan besar karena kesalahan, pada awal tahun 2024, dan memberikan akses ke “ratusan repositori kode sumber Home Depot pribadi” yang dihosting di GitHub. Zimmermann mengatakan token tersebut memungkinkan dia untuk mengubah konten repositori tersebut.
Masalah umum
Token tersebut memberi peneliti akses ke infrastruktur cloud perusahaan, pemenuhan pesanan dan sistem manajemen inventaris, serta jalur pengembangan kode.
Zimmermann juga mengatakan dia mencoba menghubungi Home Depot beberapa kali dan melalui saluran yang berbeda, tetapi tidak mendapat tanggapan.
Baru setelah melaporkan temuannya kepada TechCrunch.dll apakah lubangnya telah ditutup, ketika publikasi tersebut menghubungi perusahaan tersebut, yang mengonfirmasi bahwa token tersebut telah dihapus pada awal Desember, dan akses telah dicabut.
Token akses GitHub sering kali tertinggal selama pengembangan perangkat lunak, dan dengan demikian memberikan peluang unik bagi peretas yang mencari cara mudah untuk memasuki infrastruktur perusahaan.
Seorang peneliti keamanan baru-baru ini menemukan ribuan rahasia di GitLab publik Awan repositori, menunjukkan bagaimana pengembang perangkat lunak secara tidak sengaja menempatkan proyek mereka pada risiko serangan siber. Luke Marshall telah mengungkapkan bagaimana dia memindai GitLab Cloud, Bitbucket, dan Common Crawl, untuk hal-hal seperti Kunci API, kata sandi, atau token – dan sayangnya terungkap cukup banyak.
Dan pada bulan April 2025, peneliti keamanan GreyNoise memperingatkan hal itu Aktor ancaman Singapura sedang mencari organisasi di negara ini yang dapat dibobol dan dieksploitasi. Pada saat itu, penjahat dunia maya semakin banyak memindai file konfigurasi Git yang terekspos.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
