流出した非公開GitHubトークンにより、セキュリティ研究者が非公開リポジトリへの書き込み権限など、さまざまなシステムへのアクセスを取得。
Home Depotは1年間にわたり内部システムへのアクセスを露出していたと、TechCrunchは報じている。
セキュリティ研究者Ben Zimmermannによると、Home Depotの従業員が2024年初頭のある時点で、誤って非公開のGitHubアクセス・トークンを公開してしまった可能性が高いという。
ZimmermanはTechCrunchに対し、このトークンをテストしたところ、GitHub上のHome Depotの非公開リポジトリへの書き込み権限付きアクセスに加え、受注処理や在庫管理システムを含む同社のクラウドインフラへのアクセスも可能だったと語った。
Zimmermanは、同様の情報漏えいを他社にも報告してきたとTechCrunchに述べたうえで、流出した認証情報についてHome Depotに複数回メールを送ったものの、返答はなかったと話した。
「Home Depotだけが私を無視しました」と彼は述べた。
TechCrunchが先週同社に連絡した後、この流出した認証情報はすでに公開範囲から削除された。
ソース: csoonline.com
