Home Depot’un GitHub token’ı 1 yıl boyunca ifşa edildi; iç sistemlere erişim mümkündü

 (techcrunch.com)
1 puan yazan GN⁺ 2025-12-14 | 1 yorum | WhatsApp'ta paylaş
  • Bir güvenlik araştırmacısı, bir Home Depot çalışanının yanlışlıkla internette paylaştığı GitHub erişim token’ını buldu ve iç sistemlerin 1 yıl boyunca dışarıya açık kaldığını söyledi
  • Söz konusu token, yüzlerce özel kaynak kod deposuna erişim ve değişiklik yetkisi veriyordu; ayrıca bulut altyapısı, sipariş işleme ve envanter yönetim sistemlerine de erişim sağlıyordu
  • Araştırmacı Home Depot’ya defalarca e-posta ve LinkedIn mesajı gönderdi ancak haftalar boyunca yanıt alamadı
  • Home Depot, ancak TechCrunch iletişime geçtikten sonra bu ifşayı düzeltti ve token erişimini geri çekti
  • Home Depot’da zafiyet bildirimi veya bug bounty programı bulunmadığı için, bu olay güvenlik müdahale mekanizmasının eksikliği sorununu ortaya koydu

Home Depot iç sistem erişimi ifşa olayının özeti

  • Bir güvenlik araştırmacısı, bir Home Depot çalışanının internette paylaştığı özel erişim token’ını keşfetti
    • Bu token’ın 2024’ün başından beri ifşa edilmiş olduğu tahmin ediliyor
    • Araştırmacı, bununla Home Depot’nun yüzlerce GitHub deposuna erişip değişiklik yapmanın mümkün olduğunu doğruladı
  • İfşa edilen anahtar, Home Depot’nun bulut altyapısı, sipariş işleme sistemi, envanter yönetim sistemi ve kod geliştirme pipeline’ı dahil çeşitli iç sistemlere erişime izin veriyordu
    • Home Depot, 2015’ten bu yana geliştirme ve mühendislik altyapısının büyük kısmını GitHub üzerinde barındırıyor

Araştırmacının uyarısı ve şirketin yanıtı

  • Araştırmacı Ben Zimmermann, Home Depot’ya defalarca e-posta gönderdi ancak haftalar boyunca yanıt alamadı
    • Home Depot’nun bilgi güvenliğinden sorumlu yöneticisi (CISO) Chris Lanzilotta’ya LinkedIn üzerinden mesaj gönderdi ancak buna da yanıt gelmedi
  • Zimmermann, son aylarda başka şirketlerde de benzer ifşa vakaları gördüğünü ve çoğu şirketin teşekkür ettiğini söyledi
    • “Beni görmezden gelen tek şirket Home Depot oldu” dedi

TechCrunch müdahalesinden sonra atılan adımlar

  • Home Depot’da zafiyet bildirimi veya bug bounty programı bulunmuyor
    • Bu nedenle Zimmermann, sorunun çözülmesi için TechCrunch ile iletişime geçti
  • TechCrunch 5 Aralık’ta Home Depot sözcüsü George Lane ile iletişime geçtiğinde, gelen e-postaların alındığı doğrulandı ancak daha sonra ek sorulara yanıt verilmedi
  • Ardından ifşa edilen token internetten kaldırıldı ve erişim yetkisi de TechCrunch’ın iletişiminden hemen sonra geri çekildi

Ek doğrulama talebi ve yanıtsız kalan sorular

  • TechCrunch, Home Depot’nun loglar gibi teknik yöntemlerle bu token’ın başka kişiler tarafından kullanılıp kullanılmadığını doğrulayıp doğrulayamayacağını sordu ancak yanıt alamadı
  • Bu nedenle gerçekten dış erişim olup olmadığı veya zararın boyutu henüz doğrulanmış değil

Olayın anlamı

  • Bu vaka, büyük şirketlerde bile temel erişim anahtarı yönetimi hatalarının uzun süre fark edilmeden kalabildiğini gösteriyor
  • Ayrıca güvenlik açığı bildirim mekanizmasının yokluğunun sorunun çözümünü geciktirebileceğini ortaya koyuyor
  • Ancak TechCrunch’ın müdahalesinden sonra adım atılmış olması, dış denetimin önemini vurguluyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-12-14
Hacker News görüşleri

  • TechCrunch, Home Depot'a açıkta kalan erişim tokeni hakkında soru sordu ama şirket konuyu hukuk ekibine devredip sessizliğe geçmiş gibi görünüyor
    Muhtemelen ileride gelecek resmi açıklama hukuki ifadelerle dolu, sorumluluktan kaçan cümlelerden oluşacak

    • Bu yüzden ben de böyle durumlarda doğrudan hukuk ekibine posta yoluyla ulaşıyorum
      Gerçekten hukuki bir mesele olabilir; orada okuyup aksiyon alabilecek biri ilgilenir
      Eskiden bir banka kimlik doğrulama sorunu yüzünden benimle iletişimi kesmişti, bir mektupla hemen çözmüştüm
    • Bugünkü gibi dava riski yüksek bir ortamda Home Depot'nun tepkisinin pratikte doğru bir seçim olduğunu düşünüyorum
      Elbette biz iç analiz raporunu görmek isteriz ama hissedar odaklı bir dünyada temkinli olmaktan başka çare yok

  • Geçen hafta yanlışlıkla OpenAI, Anthropic, Gemini API anahtarlarımı ifşa ettim
    Claude Code loglarına anahtarlar olduğu gibi düşmüştü; Anthropic hemen e-posta gönderip anahtarı devre dışı bıraktı
    Buna karşılık OpenAI ve Google'dan hiçbir bildirim gelmedi
    Özellikle Google'ın Gemini anahtarını bulmak bile 10-15 dakika sürdü ve hâlâ aktif görünüyordu
    Bugünlerde vibe coding arttıkça hem anahtarı verenlerin hem de kullananların anahtar hijyenine dikkat etmesi daha da önemli hale geliyor

    • Bu kadar parçalı anahtar yönetimi çoğaldıkça, tam tersine güvenlik kaygım artıyor ve ne yaptığımı bilemez hale geliyorum
    • “vibe coding” lafını duyar duymaz içim ürperiyor
      Zaten brogramming yüzünden yeterince güvenlik olayı var; bu onları 100 kat artırabilir
    • Anahtarın nasıl sızdığını merak ediyorum
      Sadece Claude Code loglarında kaldıysa, Google'ın bunu fark etmiş olması şaşırtıcı

  • Ben de eskiden kişisel GitHub PAT'imi yanlışlıkla herkese açık bir depoya push etmiştim
    Her seferinde GitHub tokeni hemen devre dışı bırakıp bildirim gönderdi

    • GitHub'ın otomatik token tespit özelliği oldukça etkileyiciydi
      Benim durumumda büyük bir zarar olmadı ama sistem iyi çalıştı

  • “Home Depot 2x4” şakası misali, bir yıl boyunca rahatça malzeme alınabiliyor olsaydı biri herhâlde ahşap bir küre bile yapardı

    • Ama ahşabın derin deniz ortamında ne kadar dayanacağını bilmiyorum

  • Gizli bilgi yönetimini (secrets management) nasıl yapmanın iyi olacağını düşünüyorum
    Şu anda manuel olarak SSH ile bağlanıp .env dosyasını düzenliyorum

    • Tek bir uygulama için .env dosyası da yeterli olabilir
      Zaten uygulama ele geçirilirse sırlar bellekte bulunacağı için ifşayı tamamen önlemek mümkün değil
      Mümkünse IP tabanlı erişim kısıtlaması koymak en güçlü savunma olur
    • SOPS kullanırsan yönetim alanını daraltabilirsin
      Arka uçta Age kullanılırsa sunucuda yalnızca tek bir uzun ömürlü özel anahtar bulundurmak yeterli olur
    • Ya da VM platformunun yerel secret özellikleri veya 1Password API kullanmak da bir seçenek

  • Birisi “Bu bilgiyle ne tür zarar verilebilirdi?” diye sordu

    • İç kaynak kodunun tamamı indirilebilir, açıklar analiz edilebilir ya da
      GitHub dağıtım için kullanılıyorsa kötü niyetli özellikler production'a enjekte edilebilirdi
    • Örneğin Atlas Lion adlı saldırı grubu büyük perakendecilerin iç sistemlerini hedefleyip
      hediye kartı hırsızlığından gelir elde ediyor
      Yakın zamanda da Salesloft'un GitHub'ı üzerinden AWS'ye sızıp OAuth tokenleri çalarak yüzlerce Salesforce müşteri hesabına eriştikleri bir olay yaşandı

  • Açığa çıkan bir dizenin gerçekten bir API anahtarı mı yoksa sıradan rastgele bir değer mi olduğunu ayırt etmek zor

    • Bu yüzden bugünlerde birçok servis anahtarların başına pat_, sk_ gibi önekler (prefix) ekliyor

  • Open Source Home Depot” sözü garip şekilde kulağa çok uygun geliyor

  • GitHub veya OpenAI'nin kendi içinde token hash taramasını otomatikleştirmemesi şaşırtıcı
    Müşteri güvenliği için bunu basitçe uygulayabilirler gibi görünüyor
    Platformdan bağımsız bir tarama servisi yapılması öneriliyor

    • GitHub zaten bir secret scanning programı yürütüyor
      Eskiden Discord tokenleri ifşa olduğunda anında devre dışı bırakılır ve sistem hesabı DM gönderirdi
    • GitHub'ın taraması oldukça gelişmiş
      resmî belgelerde belirtildiğine göre
      büyük sağlayıcılara ait desenleri otomatik doğruluyor ve gerekirse tokenleri otomatik olarak iptal ediyor
      Ancak GitHub dışına sızan tokenleri tespit etmek zor
    • Yine de hâlâ kaçırılan vakalar çok fazla
      Ben bug bounty programları üzerinden zaman zaman sızmış anahtarları raporluyorum
      Ne yazık ki Home Depot'nun bir bug bounty programı yok
    • Tokenin halka açık depo commit'inde bulunup bulunmadığını merak ediyorum
      GitHub'ın ücretsiz tarayıcısıyla bile rahatça tespit edilebilirdi
    • GitHub, çeşitli SaaS/PaaS şirketleriyle otomatik token doğrulama ve iptal ortaklıkları kurmuş durumda

  • Birisi, bu iç sistem verileriyle içeriden öğrenenlerin ticareti seviyesinde işler bile yapılabileceğini söyledi