Home Depot’da Güvenlik Açığı: İç Sistemlere Yıl Boyu Erişim Sağlandı
Bir güvenlik araştırmacısı, Home Depot’un bir çalışanının yanlışlıkla çevrimiçi olarak paylaştığı özel bir erişim jetonunun bir yıl boyunca iç sistemlerine erişim sağladığını açıkladı. Araştırmacı, açık durumda olan jetonu fark ettikten sonra Home Depot’a gizlice güvenlik açığını bildirmeye çalıştı fakat haftalarca yanıt alamadı.
Olayın Gelişimi ve İlk Tespit
Güvenlik araştırmacısı Ben Zimmermann, TechCrunch’a yaptığı açıklamada, Kasım ayının başlarında bir Home Depot çalışanına ait olan ve 2024’ün başlarında yayımlanan GitHub erişim jetonunu bulduğunu belirtti. Bu jeton, Home Depot’un özel kaynak kodu havuzlarına erişim sağlamakta ve içeriklerini değiştirme yetkisi vermekteydi.
İç Sistemlere Erişim İmkanı
Zimmermann, bu jetonun Home Depot’un bulut altyapısına, sipariş karşılama ve envanter yönetim sistemlerine, kod geliştirme süreçlerine ve daha fazlasına erişim sağladığını ifade etti. Home Depot, 2015 yılından bu yana birçok geliştirici ve mühendislik altyapısını GitHub’da barındırmaktadır.
Home Depot’a Bildirimde Bulunma Çabası
Araştırmacı, Home Depot’a yaptıklarıyla ilgili birkaç e-posta gönderdiğini, ancak yanıt alamadığını söyledi. LinkedIn üzerinden Home Depot’un Bilgi Güvenliği Müdürü Chris Lanzilotta’ya da mesaj attığını, ancak ondan da geri dönüş almadığını belirtti. Zimmermann, son zamanlarda benzer güvenlik açıklarını diğer şirketlere bildirdiğini ve bu şirketlerin teşekkür ettiğini ifade etti. “Home Depot benimle tek iletişime geçmeyen şirket oldu” dedi.
Güvenlik Açığı ve Yanıt Süreci
Home Depot, güvenlik açıklarını bildirmek için bir yol sunmadığı, yani bir güvenlik zafiyeti bildirimi veya hata ödül programı bulunmadığı için, Zimmermann bu durumu düzeltmek için TechCrunch ile iletişime geçti. TechCrunch’ın 5 Aralık’ta ulaştığı Home Depot sözcüsü George Lane, e-posta aldığını kabul etti ancak takip eden e-postalara yanıt vermedi.
Açık Jetonun Durumu
Açık olan jeton artık çevrimiçi değil ve araştırmacı, jetonun erişiminin, TechCrunch’ın iletişim kurmasından kısa bir süre sonra iptal edildiğini belirtti. TechCrunch, ayrıca Home Depot’un, jetonun internet ortamında bulunduğu süre zarfında başka birinin iç sistemlere erişim sağlayıp sağlamadığını belirlemek için teknik imkanlara sahip olup olmadığını öğrenmek amacıyla Lane’e birkaç soru sordu. Ancak bu sorulara da yanıt gelmedi.
Sonuç ve Öneriler
Bu olay, büyük şirketlerin siber güvenlik alanında daha dikkatli olmaları gerektiğini bir kez daha göstermektedir. Güvenlik açıklarının hızla bildirilmesi ve bu tür durumlarla etkili bir şekilde başa çıkabilmek için açık iletişim kanallarının oluşturulması son derece önemlidir. Home Depot gibi büyük kuruluşlar, güvenlik açıklarını göz ardı etmek yerine bu tür durumlar için bir sistem geliştirmelidirler.
Çalışanların, erişim jetonları gibi hassas bilgileri çevrimiçi paylaşma riskini azaltmaları için gerekli eğitimlerin de verilmesi, bu tür güvenlik açıklarının önlenmesinde önemli bir adım olacaktır. Kullanıcıların karmaşık ve güvenli şifreler kullanmaları, erişim yetkilerini düzenli olarak gözden geçirmeleri, otonom bir güvenlik kültürünün oluşmasına katkıda bulunacaktır.
