- Home DepotはGitHubトークンを1年間露出させ、重要な内部システムへのアクセスを許していた
- 研究者の警告はメディアが介入するまで無視され、その後トークンは無効化された
- GitHub/GitLabでの同様の漏えいは、ハードコードされたシークレットや設定不備のリポジトリがもたらす広範なリスクを示している
専門家によれば、Home Depotは1年以上にわたり、探し方を知っている人なら誰でも内部システムにアクセスできる状態を放置していたという。
セキュリティ研究者のベン・ツィンマーマンは最近、Home Depotの従業員に属する公開済みのGitHubアクセストークンを発見した。
このトークンは、おそらく誤って2024年初頭に露出し、GitHub上でホストされている「数百の非公開Home Depotソースコードリポジトリ」へのアクセスを付与していた。ツィンマーマンは、このトークンによりそれらのリポジトリの内容を改変できたと述べた。
よくある問題
このトークンにより、研究者は同社のクラウドインフラ、受注処理および在庫管理システム、さらにコード開発パイプラインにもアクセスできたという。
ツィンマーマンはまた、複数回にわたり異なるチャネルでHome Depotに連絡を試みたが、反応はなかったとも語った。
彼の調査結果をTechCrunchに報告した後になって初めて、同誌が同社に問い合わせたことで問題は解消され、トークンは12月初旬に削除され、アクセスは取り消されたことが確認された。
GitHubのアクセストークンはソフトウェア開発の過程で置き忘れられることが多く、そのため企業インフラに容易に侵入したいハッカーにとって格好の機会となる。
あるセキュリティ研究者は最近、公開されているGitLab Cloudリポジトリで数千件のシークレットを発見し、ソフトウェア開発者が意図せず自分たちのプロジェクトをサイバー攻撃のリスクにさらしている実態を示した。ルーク・マーシャルは、GitLab Cloud、Bitbucket、Common Crawlをスキャンして、APIキー、パスワード、またはトークンといったものを探した結果、残念ながらかなり多くを見つけ出してしまったことを明らかにしている。
さらに2025年4月には、セキュリティ研究者集団GreyNoiseが、シンガポールの脅威アクターが、国内で侵入して悪用できる組織を探していると警告した。当時、サイバー犯罪者は露出したGit設定ファイルを探すスキャンをますます強めていた。
