Wyobraźmy sobie gigantyczny incydent bezpieczeństwa, który trwa rok. Jakiś pracownik przez pomyłkę wrzuca do sieci prywatny klucz dostępowy, a gigant handlowy — Home Depot — zdaje się to ignorować. Brzmi jak scenariusz rodem z thrillera IT, ale dla badacza bezpieczeństwa, Bena Zimmermanna, stało się to bolesną rzeczywistością, która ostatecznie wymagała interwencji mediów.
Milczący alarm: Jak token pracownika Home Depot otworzył drzwi do inwentarza
To, co wydarzyło się w Home Depot, to podręcznikowy przykład tego, jak jeden drobny błąd ludzki może stworzyć potężną lukę bezpieczeństwa – i jak powolna reakcja firmy może eskalować problem do rangi publicznego skandalu. Wszystko zaczęło się wczesnym listopadem, kiedy badacz bezpieczeństwa Ben Zimmermann natknął się na prawdziwą złotą żyłę dla każdego, kto interesuje się cyberbezpieczeństwem komercyjnym: prywatny token dostępowy GitHub należący do pracownika Home Depot.
Według relacji Zimmermanna, token ten został opublikowany gdzieś wczesnym rokiem 2024. Po przetestowaniu zdobyczy, badacz odkrył, że uprawnienia, które uzyskał, były alarmująco szerokie. Mówimy tu o dostępie do setek prywatnych repozytoriów kodu źródłowego Home Depot hostowanych na GitHubie. Co gorsza, klucz ten dawał nie tylko możliwość podglądania, ale i modyfikowania zawartości tych repozytoriów. W świecie deweloperki, to jakby dać komuś klucz do maszynowni.
Home Depot, jak wielu gigantów technologicznych, od dawna stawia na GitHub, hostując tam znaczną część swojej infrastruktury inżynieryjnej. Zimmermann potwierdził, że ujawniony token dawał dostęp do kluczowych systemów korporacyjnych. Lista potencjalnych celów jest mrożąca krew w żyłach: infrastrukturą chmurową firmy, systemami zarządzania zapasami (inventory management) i co najważniejsze – potokami rozwoju kodu (code development pipelines). Wyobraźmy sobie te konsekwencje: jeśli ktoś złośliwy dostałby się do tych mechanizmów, mógłby wprowadzić backdoor bezpośrednio do oprogramowania obsługującego operacje sklepu.
Rok cichej ekspozycji i biurokratyczna ślepota
Najbardziej bulwersujący aspekt tej historii to czas trwania problemu. Klucz był prawdopodobnie wystawiony na widok publiczny przez około rok, a badacz zlokalizował go, gdy już od miesięcy był dostępny. Kiedy Zimmermann zorientował się, jak poważna jest sytuacja, rozpoczął standardową procedurę zgłaszania luk. Wysłał e-maile do Home Depot, próbując zaalarmować firmę o krytycznym wycieku.
Tu zaczyna się element, który każe się zastanowić nad priorytetami korporacyjnymi. Zimmermann zaznacza: „Home Depot jest jedyną firmą, która mnie zignorowała”. Wysłał wiadomość nie tylko do ogólnych kanałów bezpieczeństwa, ale także próbował skontaktować się bezpośrednio z szefem ds. bezpieczeństwa informacji (CISO), Chrisem Lanzilottą, poprzez LinkedIn. Cisza. Badacz, mający na koncie wiele udanych współprac z innymi firmami, które dziękowały mu za wykrycie i pomoc w załataniu luk, spotkał się z murem obojętności.
Brak formalnego kanału zgłaszania błędów (jak np. dedykowany program bug bounty lub polityka ujawniania podatności) zmusił Zimmermanna do podjęcia drastycznego kroku. Skoro prywatne próby zawiodły, jedynym sposobem na wymuszenie reakcji było nagłośnienie sprawy. Zwrócił się do TechCrunch.
Interwencja mediów jako ostatnia deska ratunku
Dopiero kontakt ze strony mediów wymusił ruch w Home Depot. Gdy TechCrunch wysłał zapytanie do firmy 5 grudnia, rzecznik George Lane potwierdził przyjęcie wiadomości, ale nie udzielił szczegółowego komentarza – przynajmniej nie natychmiast.
Paradoksalnie, natychmiast po tym, jak TechCrunch zaangażował się w sprawę, token zniknął z sieci, a jego uprawnienia zostały cofnięte. To potwierdziło hipotezę, że token był aktywny i że firma była w stanie go unieważnić, gdy tylko zaistniała publiczna presja.
Pozostaje jednak fundamentalne pytanie, na które Home Depot nie udzieliło odpowiedzi: czy ktoś faktycznie wykorzystał ten klucz przez te kilkanaście miesięcy, gdy był on publicznie dostępny? Czy naruszone zostały systemy obsługujące zamówienia lub łańcuch dostaw? Firma nie odniosła się do kwestii logów i tego, czy mogą zbadać ewentualne wykorzystanie tokena. W dobie cyfryzacji handlu, opóźnienie w reakcji na tak krytyczne zagrożenie, trwające miesiące, powinno budzić poważne obawy u każdego klienta. Ta historia to zimny prysznic dla tych, którzy wierzą, że wystarczy opublikować politykę bezpieczeństwa; kluczowe jest aktywne reagowanie na sygnały.
