Home-Depot-GitHub-Token war ein Jahr lang offengelegt und ermöglichte Zugriff auf interne Systeme

 (techcrunch.com)
1 Punkte von GN⁺ 2025-12-14 | 1 Kommentare | Auf WhatsApp teilen
  • Ein Sicherheitsforscher entdeckte ein von einem Home-Depot-Mitarbeiter versehentlich online veröffentlichtes GitHub-Zugriffstoken und erklärte, dass interne Systeme ein Jahr lang von außen zugänglich waren
  • Das Token gewährte Zugriffs- und Änderungsrechte auf Hunderte private Quellcode-Repositories und ermöglichte zudem Zugang zu Cloud-Infrastruktur, Bestellabwicklung und Bestandsverwaltungssystemen
  • Der Forscher schickte Home Depot mehrfach E-Mails und LinkedIn-Nachrichten, erhielt jedoch wochenlang keine Antwort
  • Home Depot behob die Offenlegung und entzog den Tokenzugriff erst nachdem TechCrunch Kontakt aufgenommen hatte
  • Da Home Depot kein Meldesystem für Schwachstellen und kein Bug-Bounty-Programm hat, zeigt der Vorfall Probleme durch das Fehlen strukturierter Sicherheitsreaktionen auf

Überblick über den Vorfall mit offengelegtem Zugriff auf interne Systeme von Home Depot

  • Ein Sicherheitsforscher entdeckte ein von einem Home-Depot-Mitarbeiter online veröffentlichtes privates Zugriffstoken
    • Es wird vermutet, dass dieses Token seit Anfang 2024 offengelegt war
    • Der Forscher bestätigte, dass sich damit auf Hunderte GitHub-Repositories von Home Depot zugreifen und diese verändern ließen
  • Der offengelegte Schlüssel erlaubte Zugang zu verschiedenen internen Systemen von Home Depot, darunter Cloud-Infrastruktur, Bestellabwicklungssysteme, Bestandsverwaltungssysteme und Code-Entwicklungspipelines
    • Home Depot hostet seit 2015 den Großteil seiner Entwicklungs- und Engineering-Infrastruktur auf GitHub

Warnungen des Forschers und Reaktion des Unternehmens

  • Der Forscher Ben Zimmermann schickte Home Depot mehrfach E-Mails, erhielt jedoch wochenlang keine Antwort
    • Er schickte auch eine LinkedIn-Nachricht an Home Depots Chief Information Security Officer (CISO) Chris Lanzilotta, bekam aber keine Rückmeldung
  • Zimmermann berichtete, in den vergangenen Monaten ähnliche Offenlegungen bei anderen Unternehmen gesehen zu haben; die meisten hätten Dankbarkeit gezeigt
    • Er sagte, „nur Home Depot hat mich ignoriert“

Maßnahmen nach dem Eingreifen von TechCrunch

  • Home Depot verfügt über kein Programm zur Meldung von Schwachstellen und kein Bug-Bounty-Programm
    • Deshalb kontaktierte Zimmermann TechCrunch und bat um Hilfe bei der Lösung des Problems
  • Als TechCrunch am 5. Dezember den Home-Depot-Sprecher George Lane kontaktierte, bestätigte dieser den Eingang der E-Mail, antwortete jedoch nicht auf weitere Fragen
  • Danach wurde das offengelegte Token online entfernt, und die Zugriffsrechte wurden unmittelbar nach der Kontaktaufnahme durch TechCrunch entzogen

Bitte um weitere Bestätigung und ausbleibende Antwort

  • TechCrunch fragte Home Depot, ob das Unternehmen mithilfe technischer Mittel wie Logs feststellen könne, ob das Token von Dritten verwendet worden sei, erhielt jedoch keine Antwort
  • Dadurch bleibt unklar, ob es tatsächlich externen Zugriff gab oder wie groß ein möglicher Schaden ist

Bedeutung des Vorfalls

  • Der Fall zeigt, dass selbst bei großen Unternehmen grundlegende Fehler beim Management von Zugriffsschlüsseln über lange Zeit unbemerkt bleiben können
  • Er macht außerdem deutlich, dass das Fehlen eines Systems zur Meldung von Sicherheitslücken die Behebung von Problemen verzögern kann
  • Dass Maßnahmen erst nach dem Eingreifen von TechCrunch erfolgten, unterstreicht die Bedeutung externer Kontrolle

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-12-14
Hacker-News-Kommentare

  • TechCrunch hat Home Depot wegen des offengelegten Access Tokens kontaktiert, aber das Unternehmen scheint die Sache an die Rechtsabteilung weitergereicht zu haben und nun in den Schweigemodus gegangen zu sein.
    Eine spätere offizielle Stellungnahme wird vermutlich aus mit juristischen Formulierungen überladenen Sätzen zur Haftungsvermeidung bestehen.

    • Deshalb kontaktiere ich in solchen Fällen auch sofort die Rechtsabteilung per Post.
      Es kann sich tatsächlich um eine rechtliche Angelegenheit handeln, und dort reagieren Leute, die es lesen und Maßnahmen ergreifen können.
      Als eine Bank früher wegen eines Problems bei der Identitätsprüfung den Kontakt zu mir abgebrochen hatte, konnte ich es mit einem einzigen Brief sofort lösen.
    • In einem Umfeld mit hohem Klage-Risiko wie heute ist die Reaktion von Home Depot meiner Meinung nach realistisch nachvollziehbar.
      Natürlich würden wir gern den internen Analysebericht sehen, aber in einer welt, die sich an Aktionären orientiert, bleibt kaum etwas anderes übrig, als vorsichtig zu sein.

  • Letzte Woche habe ich versehentlich meine OpenAI-, Anthropic- und Gemini-API-Schlüssel offengelegt.
    Im Claude-Code-Log wurden die Schlüssel unverändert ausgegeben, und Anthropic hat sofort eine Mail geschickt und den Schlüssel deaktiviert.
    OpenAI und Google hingegen haben überhaupt nicht benachrichtigt.
    Besonders beim Gemini-Schlüssel von Google dauerte es allein 10 bis 15 Minuten, ihn zu finden, und er wirkte weiterhin aktiv.
    Gerade in Zeiten mit viel vibe coding wird Schlüsselhygiene sowohl für Aussteller als auch für Nutzer immer wichtiger.

    • Diese immer stärker granulare Schlüsselverwaltung nimmt inzwischen so überhand, dass sie eher Sicherheitsangst erzeugt und ich gar nicht mehr weiß, was ich da eigentlich tue.
    • Allein das Wort „vibe coding“ lässt mir einen Schauer über den Rücken laufen.
      Schon durch brogramming gibt es viele Sicherheitsvorfälle, und das könnte sich noch verhundertfachen.
    • Mich würde interessieren, wie der Schlüssel überhaupt nach außen gelangt ist.
      Wenn er nur im Claude-Code-Log stand, wäre es erstaunlich, dass Google das überhaupt erkannt hat.

  • Ich habe früher auch einmal versehentlich meinen persönlichen GitHub PAT in ein öffentliches Repository hochgeladen.
    GitHub hat damals jedes Mal sofort den Token deaktiviert und eine Benachrichtigung geschickt.

    • Die automatische Token-Erkennung von GitHub war ziemlich beeindruckend.
      In meinem Fall entstand kein großer Schaden, aber das System hat gut funktioniert.

  • Wie bei dem Witz über „Home Depot 2x4“ hätte wohl jemand, wenn man ein Jahr lang nach Belieben Material hätte mitnehmen können, zumindest eine Holzkugel gebaut.

    • Aber ich weiß nicht, wie gut Holz in einer Tiefseeumgebung durchhalten würde.

  • Ich überlege gerade, wie man Secrets Management am besten angeht.
    Derzeit melde ich mich manuell per SSH an und bearbeite die .env-Datei.

    • Für eine einzelne App reicht eine .env-Datei völlig aus.
      Wenn die App kompromittiert wird, verbleiben die Secrets ohnehin im Speicher, sodass sich Offenlegung nicht vermeiden lässt.
      Wenn möglich, ist IP-basierte Zugriffsbeschränkung die stärkste Verteidigung.
    • Mit SOPS lässt sich der Verwaltungsaufwand reduzieren.
      Wenn man Age als Backend verwendet, muss auf dem Server nur ein langfristiger privater Schlüssel liegen.
    • Alternativ kann man auch die native Secret-Funktion der VM-Plattform oder die 1Password-API nutzen.

  • Jemand fragte: „Welchen Schaden hätte man mit diesen Informationen anrichten können?“

    • Man hätte den gesamten internen Quellcode herunterladen und nach Schwachstellen analysieren können, oder, wenn GitHub für Deployments genutzt wird, bösartige Funktionen in die Produktion einschleusen können.
    • Zum Beispiel zielt die Hackergruppe Atlas Lion auf interne Systeme großer Einzelhändler ab und verdient Geld mit Gift-Card-Diebstahl.
      Kürzlich gab es auch einen Fall, bei dem über das GitHub von Salesloft in AWS eingedrungen wurde, um OAuth-Tokens zu stehlen und auf Hunderte Salesforce-Kundenkonten zuzugreifen.

  • Es ist schwer zu unterscheiden, ob eine veröffentlichte Zeichenfolge wirklich ein API-Schlüssel oder nur ein zufälliger Wert ist.

    • Deshalb versehen viele Dienste ihre Schlüssel inzwischen mit Präfixen wie pat_ oder sk_.

  • Der Ausdruck „Open Source Home Depot“ passt auf seltsame Weise erstaunlich gut.

  • Es ist überraschend, dass GitHub oder OpenAI selbst keine automatische Token-Hash-Scan-Automatisierung anbieten.
    Das ließe sich zum Schutz der Kunden scheinbar recht einfach implementieren.
    Es wurde vorgeschlagen, einen plattformunabhängigen Scanning-Dienst zu bauen.

    • GitHub betreibt bereits ein Secret-Scanning-Programm.
      Früher wurden etwa offengelegte Discord-Tokens sofort deaktiviert und ein Systemkonto verschickte eine DM.
    • Das Scanning von GitHub ist ziemlich ausgereift.
      Laut offizieller Dokumentation
      werden Muster wichtiger Anbieter automatisch validiert und Tokens bei Bedarf automatisch widerrufen.
      Allerdings sind außerhalb von GitHub offengelegte Tokens schwer zu erkennen.
    • Trotzdem gibt es weiterhin viele übersehene Fälle.
      Ich melde über Bug-Bounty-Programme immer wieder geleakte Schlüssel.
      Leider hat Home Depot kein Bug-Bounty-Programm.
    • Ich frage mich, ob der Token in einem Commit eines öffentlichen Repositorys gefunden wurde.
      Mit GitHubs kostenlosem Scanner sollte sich das bereits gut erkennen lassen.
    • GitHub hat mit verschiedenen SaaS-/PaaS-Anbietern Partnerschaften zur automatischen Token-Validierung und -Widerrufung.

  • Jemand erwähnte, man hätte mit den Daten dieses internen Systems möglicherweise sogar Dinge auf dem Niveau von Insiderhandel tun können.