Le jeton GitHub privé exposé a donné aux chercheurs en sécurité des autorisations d’écriture sur les dépôts privés, entre autres systèmes.
Home Depot a exposé l’accès aux systèmes internes pendant un an, rapporte TechCrunch.
Selon le chercheur en sécurité Ben Zimmermann, un employé de Home Depot a publié un jeton d’accès privé à GitHub au début de 2024, probablement par erreur.
Zimmerman a déclaré à TechCrunch que lorsqu’il a testé le jeton, il a accordé l’accès aux dépôts privés de Home Depot sur GitHub, avec des autorisations en écriture, ainsi qu’un accès à l’infrastructure cloud de l’entreprise, y compris les systèmes d’exécution des commandes et de gestion des stocks.
Zimmerman, qui a déclaré à TechCrunch qu’il avait divulgué des expositions similaires à d’autres sociétés, a déclaré qu’il n’avait pas reçu de réponse à plusieurs e-mails qu’il avait envoyés à Home Depot au sujet de la fuite des informations d’identification.
« Home Depot est la seule entreprise qui m’a ignoré », a-t-il déclaré.
Les informations d’identification divulguées ont depuis été retirées de la vue du public après que TechCrunch a contacté l’entreprise la semaine dernière.
