- Home Depot, bir yıl boyunca GitHub tokenını açığa çıkardı ve kritik dahili sistemlere erişim sağladı
- Medya müdahale edene kadar araştırmacının uyarıları dikkate alınmadı, ardından token iptal edildi
- GitHub/GitLab’daki benzer sızıntılar, sabit kodlanmış sırlardan ve yanlış yapılandırılmış depolardan kaynaklanan yaygın riskleri gösteriyor
Uzmanlar, Home Depot’un iç sistemlerine erişimi bir yıldan fazla bir süre boyunca nereye bakacağını bilen herkese açık tuttuğu konusunda uyardı.
Güvenlik araştırmacısı Ben Zimmermann yakın zamanda bir Home Depot çalışanına ait yayınlanmış bir GitHub erişim jetonu buldu.
Token, büyük olasılıkla yanlışlıkla 2024’ün başlarında açığa çıktı ve GitHub’da barındırılan “yüzlerce özel Home Depot kaynak kodu deposuna” erişim izni verildi. Zimmermann, tokenın bu depoların içeriğini değiştirmesine izin verdiğini söyledi.
Yaygın bir sorun
Tokenlar araştırmacıya şirketin bulut altyapısına, sipariş yerine getirme ve envanter yönetimi sistemlerine ve ayrıca kod geliştirme hatlarına erişim sağladı.
Zimmermann ayrıca Home Depot’a birçok kez ve farklı kanallardan ulaşmayı denediğini ancak sessizlikle karşılandığını söyledi.
Ancak bulgularını rapor ettikten sonra TechCrunch Yayın şirkete ulaştığında, tokenın Aralık başında kaldırıldığını ve erişimin iptal edildiğini doğruladığında delik tıkanmıştı.
GitHub erişim belirteçleri genellikle yazılım geliştirme sırasında geride kalır ve bu nedenle kurumsal altyapıya girmenin kolay bir yolunu arayan bilgisayar korsanları için benzersiz bir fırsat sunar.
Bir güvenlik araştırmacısı yakın zamanda herkese açık GitLab’da binlerce sır buldu Bulut yazılım geliştiricilerinin kendi projelerini yanlışlıkla siber saldırı riskine nasıl soktuklarını gösteren depolar. Luke Marshall, GitLab Cloud, Bitbucket ve Common Crawl’ı aşağıdaki gibi şeyler için nasıl taradığını açıkladı: API anahtarları, şifreleri veya belirteçleri – ve ne yazık ki pek çok şey açığa çıktı.
Ve Nisan 2025’te güvenlik araştırmacıları GreyNoise şu uyarıda bulundu: Singapurlu tehdit aktörleri ülkede zorla girilebilecek ve sömürülebilecek örgütlerin peşindeydiler. O zamanlar siber suçlular Git yapılandırma dosyalarını giderek daha fazla tarıyordu.
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.