Home Depot’ta Bir Yıl Süren Güvenlik Açığı: Çalışan Hatası İç Sistemleri Açığa Çıkardı
Home Depot’ta bir yıl boyunca açık kalan erişim hatası
Bir güvenlik araştırmacısı, Home Depot’un iç sistemlerine erişim sağlayan özel bir erişim anahtarının (token) yaklaşık bir yıl boyunca internette açıkta kaldığını ortaya çıkardı. Araştırmacıya göre, söz konusu erişim anahtarı, şirket çalışanlarından birinin hatayla çevrim içi bir platforma yüklediği kodlar arasında yer alıyordu.
Araştırmacı, bulduğu bu kritik açığı Home Depot’a özel olarak bildirmeye çalıştı, ancak haftalarca yanıt alamadığını belirtiyor. Açık, ancak bir haber kuruluşunun şirketle temasa geçmesinin ardından kapatıldı.
Bir token ile yüzlerce depo ve kritik sistemlere erişim
Güvenlik araştırmacısı Ben Zimmermann, kasım ayının başında, Home Depot çalışanına ait bir GitHub erişim anahtarını internette herkesin görebileceği şekilde buldu. İncelemesine göre bu anahtar, 2024’ün başlarından beri erişilebilir durumdaydı.
Zimmermann’ın testlerine göre söz konusu token, Home Depot’un GitHub üzerinde tutulan yüzlerce özel kaynak kod deposuna erişim sağlıyor ve bu depolardaki kodların değiştirilebilmesine bile izin veriyordu.
Araştırmacı, anahtarın sadece kod depolarıyla sınırlı kalmayıp, şirketin bulut altyapısına, sipariş karşılama ve envanter yönetimi sistemlerine, ayrıca yazılım geliştirme hatlarına (CI/CD pipeline) kadar bir dizi iç sisteme erişim imkânı sunabildiğini ifade ediyor. Home Depot, 2015’ten bu yana geliştirici ve mühendislik altyapısının büyük bölümünü GitHub üzerinde barındırıyor.
Uyarılar yanıtsız kaldı
Zimmermann, açığı fark ettikten sonra Home Depot’a birden fazla e-posta gönderdiğini, ancak hiçbirine yanıt alamadığını söylüyor.
Ayrıca şirketin bilgi güvenliği direktörü Chris Lanzilotta’ya da LinkedIn üzerinden mesaj gönderdiğini, fakat bu girişimin de cevapsız kaldığını belirtiyor.
Araştırmacı, son aylarda benzer nitelikte birçok güvenlik açığını farklı şirketlere bildirdiğini, bu şirketlerin ise kendisine teşekkür ettiğini vurgulayarak şu ifadeyi kullanıyor: “Home Depot, beni görmezden gelen tek şirket oldu.”
Güvenlik açığı bildirim programı yok
Home Depot’un, kamuya açık bir güvenlik açığı bildirim kanalı ya da bug bounty programı bulundurmaması, süreci daha da zorlaştırdı. Bunun üzerine Zimmermann, açığın kapatılabilmesi için bir haber kuruluşuna ulaştı.
Haber kuruluşu 5 Aralık’ta Home Depot ile iletişime geçti. Şirketin sözcüsü George Lane, e-postayı aldığını doğruladı; ancak güvenlik açığına ilişkin ayrıntılı sorulara daha sonra yanıt vermedi. Kısa süre içinde, internette açıkta duran erişim anahtarı kaldırıldı ve araştırmacının ifadesine göre token’ın erişim yetkileri iptal edildi.
Açığın suistimal edilip edilmediği bilinmiyor
Şirkete, bu erişim anahtarının aylar boyunca açıkta kaldığı süre içinde başka kişiler tarafından kullanılıp kullanılmadığını tespit etmeye yarayacak kayıt (log) tutma altyapısına sahip olup olmadığı da soruldu. Ancak Home Depot, bu kritik soruya da yanıt vermedi.
Böylece, neredeyse bir yıl boyunca internette dolaşan bu tek bir erişim anahtarı üzerinden, Home Depot’un iç sistemlerine yetkisiz erişim sağlanıp sağlanmadığı hâlâ netlik kazanmadı.
