Home Depot GitHub token exposed for a year, granted access to internal systems
5 months ago
- #github
- #security
- #data-breach
- 一位安全研究人员发现家得宝员工的GitHub访问令牌在网上暴露,该令牌可访问私有代码库和内部系统。
- 该令牌能访问云基础设施、订单履行系统、库存管理平台和开发流水线。
- 研究人员Ben Zimmermann多次尝试提醒家得宝但未获回应。
- 在家得宝接到TechCrunch问询后修复了漏洞,但尚不确定是否发生过未经授权的访问。
- 由于家得宝缺乏正式的安全漏洞报告机制,研究人员最终选择通过媒体曝光此事。