Một chuyên gia an ninh vừa lên tiếng tố cáo việc tập đoàn bán lẻ Home Depot đã để lộ quyền truy cập vào hệ thống nội bộ của mình trong suốt một năm trời. Vấn đề bắt nguồn từ việc một nhân viên của Home Depot vô tình đăng tải mã thông báo truy cập (access token) lên mạng.
Chuyên gia an ninh mạng Ben Zimmermann cho biết, vào đầu tháng 11, ông đã phát hiện ra mã thông báo này trên GitHub. Mã này được cho là đã bị lộ từ đầu năm 2024. Khi thử nghiệm, Zimmermann nhận thấy rằng mã thông báo này cho phép ông truy cập vào hàng trăm kho lưu trữ mã nguồn riêng tư của Home Depot trên GitHub, đồng thời có thể sửa đổi nội dung của chúng.
Theo chuyên gia, các mã khóa này còn cho phép truy cập vào cơ sở hạ tầng đám mây của Home Depot, bao gồm hệ thống quản lý hàng tồn kho, hệ thống thực hiện đơn hàng và quy trình phát triển mã, cùng nhiều hệ thống khác. Home Depot đã sử dụng GitHub để lưu trữ phần lớn cơ sở hạ tầng phát triển và kỹ thuật từ năm 2015.
Zimmermann đã nhiều lần liên hệ với Home Depot để thông báo về lỗ hổng bảo mật này nhưng không nhận được phản hồi. Thậm chí, ông cũng không nhận được hồi âm từ Giám đốc An ninh Thông tin của Home Depot, Chris Lanzilotta, sau khi gửi tin nhắn qua LinkedIn.
Mãi cho đến khi trang TechCrunch liên hệ với đại diện của Home Depot vào ngày 5 tháng 12, công ty này mới thừa nhận đã nhận được email. Mã thông báo bị lộ sau đó đã bị thu hồi. Tuy nhiên, Home Depot vẫn chưa cho biết liệu họ có khả năng kiểm tra xem có ai đã sử dụng mã thông báo này để truy cập vào hệ thống nội bộ của công ty trong thời gian nó bị lộ hay không.
Sự việc này một lần nữa cho thấy tầm quan trọng của việc bảo mật thông tin và phản ứng nhanh chóng trước các vấn đề an ninh mạng. Theo nguồn tin từ TechCrunch.
