INTRODUÇÃO

Um pesquisador de segurança revelou que a Home Depot manteve uma falha crítica exposta por aproximadamente um ano, após um funcionário publicar acidentalmente um token de acesso privado no GitHub. A chave, descoberta em novembro de 2023, mas que provavelmente vazou no início de 2024, concedia acesso amplo aos sistemas internos da empresa. A situação só foi resolvida após a intervenção da imprensa, destacando uma grave falha nos processos de resposta a incidentes da varejista.

DESENVOLVIMENTO

Publicidade
Publicidade

O pesquisador Ben Zimmermann testou o token e constatou que ele permitia acesso a centenas de repositórios privados de código-fonte da Home Depot no GitHub, com capacidade até para modificar conteúdos. Mais alarmante: a chave também abria caminho para a infraestrutura de nuvem da empresa, incluindo sistemas críticos de gerenciamento de pedidos, inventário e pipelines de desenvolvimento. A Home Depot, que migrou grande parte de sua infraestrutura de engenharia para o GitHub em 2015, não possuía um programa formal para reportar vulnerabilidades, como um bug bounty.

Zimmermann tentou contato por e-mail e via LinkedIn com o diretor de segurança da informação da empresa, Chris Lanzilotta, mas não obteve resposta por semanas. "A Home Depot é a única empresa que me ignorou", afirmou o pesquisador, que recentemente teve descobertas similares agradecidas por outras companhias. A exposição só foi corrigida após o site TechCrunch entrar em contato com representantes da empresa na semana passada.

CONCLUSÃO

O caso evidencia um descaso preocupante da Home Depot com a segurança cibernética, especialmente considerando a sensibilidade dos sistemas acessíveis pelo token vazado. A falta de um canal estruturado para reportar falhas e a negligência em responder a alertas de especialistas colocaram dados e operações da empresa em risco por um período prolongado. Empresas de grande porte, como a varejista, precisam urgentemente revisar seus protocolos de resposta a incidentes e implementar programas de divulgação de vulnerabilidades para evitar brechas tão graves no futuro.