Home-Depot-GitHub-Token war ein Jahr lang offengelegt und ermöglichte Zugriff auf interne Systeme

• Ein Sicherheitsforscher entdeckte ein von einem Home-Depot-Mitarbeiter versehentlich online veröffentlichtes GitHub-Zugriffstoken und erklärte, dass interne Systeme ein Jahr lang von außen zugänglich waren
• Das Token gewährte Zugriffs- und Änderungsrechte auf Hunderte private Quellcode-Repositories und ermöglichte zudem Zugang zu Cloud-Infrastruktur, Bestellabwicklung und Bestandsverwaltungssystemen
• Der Forscher schickte Home Depot mehrfach E-Mails und LinkedIn-Nachrichten, erhielt jedoch wochenlang keine Antwort
• Home Depot behob die Offenlegung und entzog den Tokenzugriff erst nachdem TechCrunch Kontakt aufgenommen hatte
• Da Home Depot kein Meldesystem für Schwachstellen und kein Bug-Bounty-Programm hat, zeigt der Vorfall Probleme durch das Fehlen strukturierter Sicherheitsreaktionen auf

Überblick über den Vorfall mit offengelegtem Zugriff auf interne Systeme von Home Depot

• Ein Sicherheitsforscher entdeckte ein von einem Home-Depot-Mitarbeiter online veröffentlichtes privates Zugriffstoken
  • Es wird vermutet, dass dieses Token seit Anfang 2024 offengelegt war
  • Der Forscher bestätigte, dass sich damit auf Hunderte GitHub-Repositories von Home Depot zugreifen und diese verändern ließen
• Der offengelegte Schlüssel erlaubte Zugang zu verschiedenen internen Systemen von Home Depot, darunter Cloud-Infrastruktur, Bestellabwicklungssysteme, Bestandsverwaltungssysteme und Code-Entwicklungspipelines
  • Home Depot hostet seit 2015 den Großteil seiner Entwicklungs- und Engineering-Infrastruktur auf GitHub

Warnungen des Forschers und Reaktion des Unternehmens

• Der Forscher Ben Zimmermann schickte Home Depot mehrfach E-Mails, erhielt jedoch wochenlang keine Antwort
  • Er schickte auch eine LinkedIn-Nachricht an Home Depots Chief Information Security Officer (CISO) Chris Lanzilotta, bekam aber keine Rückmeldung
• Zimmermann berichtete, in den vergangenen Monaten ähnliche Offenlegungen bei anderen Unternehmen gesehen zu haben; die meisten hätten Dankbarkeit gezeigt
  • Er sagte, „nur Home Depot hat mich ignoriert“

Maßnahmen nach dem Eingreifen von TechCrunch

• Home Depot verfügt über kein Programm zur Meldung von Schwachstellen und kein Bug-Bounty-Programm
  • Deshalb kontaktierte Zimmermann TechCrunch und bat um Hilfe bei der Lösung des Problems
• Als TechCrunch am 5. Dezember den Home-Depot-Sprecher George Lane kontaktierte, bestätigte dieser den Eingang der E-Mail, antwortete jedoch nicht auf weitere Fragen
• Danach wurde das offengelegte Token online entfernt, und die Zugriffsrechte wurden unmittelbar nach der Kontaktaufnahme durch TechCrunch entzogen

Bitte um weitere Bestätigung und ausbleibende Antwort

• TechCrunch fragte Home Depot, ob das Unternehmen mithilfe technischer Mittel wie Logs feststellen könne, ob das Token von Dritten verwendet worden sei, erhielt jedoch keine Antwort
• Dadurch bleibt unklar, ob es tatsächlich externen Zugriff gab oder wie groß ein möglicher Schaden ist

Bedeutung des Vorfalls

• Der Fall zeigt, dass selbst bei großen Unternehmen grundlegende Fehler beim Management von Zugriffsschlüsseln über lange Zeit unbemerkt bleiben können
• Er macht außerdem deutlich, dass das Fehlen eines Systems zur Meldung von Sicherheitslücken die Behebung von Problemen verzögern kann
• Dass Maßnahmen erst nach dem Eingreifen von TechCrunch erfolgten, unterstreicht die Bedeutung externer Kontrolle