El token de GitHub de Home Depot estuvo expuesto durante un año y permitió acceso a sistemas internos

 (techcrunch.com)
1 puntos por GN⁺ 2025-12-14 | 1 comentarios | Compartir por WhatsApp
  • Un investigador de seguridad descubrió un token de acceso de GitHub que un empleado de Home Depot publicó por error en línea, y señaló que los sistemas internos estuvieron expuestos al exterior durante un año
  • El token otorgaba permisos para acceder y modificar cientos de repositorios privados de código fuente, y también permitía acceder a infraestructura en la nube, procesamiento de pedidos y sistemas de gestión de inventario
  • El investigador envió varios correos electrónicos y mensajes por LinkedIn a Home Depot, pero no recibió respuesta durante semanas
  • Home Depot corrigió la exposición y revocó el acceso del token solo después de que TechCrunch se pusiera en contacto
  • Home Depot no cuenta con un mecanismo de reporte de vulnerabilidades ni un programa de bug bounty, y este incidente dejó en evidencia la ausencia de un sistema de respuesta de seguridad

Resumen del incidente de exposición de acceso a sistemas internos de Home Depot

  • Un investigador de seguridad descubrió un token de acceso privado que un empleado de Home Depot publicó en línea
    • Se estima que el token estuvo expuesto desde principios de 2024
    • El investigador confirmó que con él era posible acceder y modificar cientos de repositorios de GitHub de Home Depot
  • La clave expuesta permitía acceso a varios sistemas internos de Home Depot, como su infraestructura en la nube, sistema de procesamiento de pedidos, sistema de gestión de inventario y pipeline de desarrollo de código
    • Home Depot aloja la mayor parte de su infraestructura de desarrollo e ingeniería en GitHub desde 2015

La advertencia del investigador y la respuesta de la empresa

  • El investigador Ben Zimmermann envió varios correos electrónicos a Home Depot, pero no recibió respuesta durante semanas
    • También envió un mensaje por LinkedIn al director de seguridad de la información (CISO) de Home Depot, Chris Lanzilotta, pero no obtuvo respuesta
  • Zimmermann comentó que en los últimos meses vio casos similares de exposición en otras empresas, y que la mayoría expresó agradecimiento
    • Mencionó que “Home Depot fue la única que me ignoró”

Medidas después de la intervención de TechCrunch

  • Home Depot no tiene un programa de reporte de vulnerabilidades ni de bug bounty
    • Por eso, Zimmermann contactó a TechCrunch para pedir ayuda en la resolución del problema
  • Cuando TechCrunch contactó el 5 de diciembre al vocero de Home Depot, George Lane, este confirmó la recepción del correo, pero luego no respondió a consultas adicionales
  • Después, el token expuesto fue eliminado de internet y los permisos de acceso también fueron revocados justo después del contacto de TechCrunch

Solicitud de verificación adicional y falta de respuesta

  • TechCrunch preguntó si Home Depot podía confirmar, mediante registros u otros medios técnicos, si ese token había sido usado por otras personas, pero no obtuvo respuesta
  • Por ello, sigue sin confirmarse si realmente hubo acceso externo o cuál fue el alcance del daño

Qué significa este incidente

  • Este caso muestra que incluso en grandes empresas puede dejarse sin atender durante largo tiempo una falla básica en la gestión de claves de acceso
  • También deja en evidencia que la ausencia de un sistema para reportar vulnerabilidades de seguridad puede retrasar la solución del problema
  • El hecho de que las medidas se tomaran solo después de la intervención de TechCrunch resalta la importancia de la supervisión externa

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-12-14
Comentarios en Hacker News

  • TechCrunch consultó a Home Depot sobre el token de acceso expuesto, pero la empresa parece haber pasado el asunto a su equipo legal y entró en modo silencio
    Probablemente la postura oficial que publiquen después esté llena de lenguaje legal para esquivar responsabilidades

    • Por eso yo también, en casos así, contacto directamente por correo postal al equipo legal
      Como puede tratarse de un asunto realmente legal, ahí responde alguien que sí puede leerlo y tomar medidas
      Antes, cuando un banco cortó la comunicación conmigo por un problema de verificación de identidad, lo resolví de inmediato con una sola carta
    • En un entorno como el actual, con tanto riesgo de demandas, creo que la respuesta de Home Depot es una decisión realista
      Claro, nosotros querríamos ver el informe interno de análisis, pero en un mundo centrado en los accionistas no les queda más que actuar con cautela

  • La semana pasada expuse por error mis API keys de OpenAI, Anthropic y Gemini
    Las claves aparecían tal cual en los logs de Claude Code, y Anthropic me envió un correo de inmediato para desactivarla
    En cambio, ni OpenAI ni Google enviaron ninguna alerta
    En particular, la key de Gemini de Google me tomó entre 10 y 15 minutos solo encontrarla, y todavía parecía seguir activa
    Cuanto más vibe coding hay hoy en día, más importante se vuelve la higiene en la gestión de claves tanto para quien las emite como para quien las usa

    • Hay tanta gestión de claves hipersegmentada que, al contrario, me genera más ansiedad de seguridad y ya ni sé qué estoy haciendo
    • Apenas escuché la expresión “vibe coding” me recorrió un escalofrío por la espalda
      Ya hay muchos incidentes de seguridad causados por el brogramming, y esto podría multiplicarlo por 100
    • Me da curiosidad cómo se filtró la clave
      Si solo quedó registrada en los logs de Claude Code, sorprende que Google se haya dado cuenta de eso

  • A mí también me pasó antes que publiqué por error mi GitHub PAT personal en un repositorio público
    Cada vez, GitHub desactivó el token de inmediato y me mandó una notificación

    • La detección automática de tokens de GitHub me pareció bastante impresionante
      En mi caso no hubo daños importantes, pero el sistema funcionó bien

  • Como en el chiste de “Home Depot 2x4”, si durante un año se hubiera podido llevar materiales libremente, seguro alguien habría construido aunque sea una esfera de madera

    • Aunque no sé cuánto resistiría la madera en un entorno de aguas profundas

  • Estoy pensando cuál sería una buena forma de manejar los secretos (secrets management)
    Ahora mismo entro por SSH manualmente y edito el archivo .env

    • Si es una sola app, un archivo .env también basta
      Después de todo, si la app queda comprometida, los secretos quedan en memoria y no hay forma de evitar su exposición
      Si es posible, poner restricciones de acceso por IP es la defensa más fuerte
    • Usar SOPS puede reducir el alcance de lo que tienes que administrar
      Si usas Age como backend, basta con dejar una sola clave privada de largo plazo en el servidor
    • Otra opción es aprovechar la función nativa de secretos de la plataforma de VM o la API de 1Password

  • Alguien preguntó: “¿Qué tipo de daño se podría haber hecho con esa información?”

    • Se podría descargar todo el código fuente interno para analizar vulnerabilidades o,
      si GitHub se usa para despliegues, inyectar funcionalidad maliciosa en producción
    • Por ejemplo, un grupo de hacking llamado Atlas Lion apunta a los sistemas internos de grandes minoristas
      y obtiene ganancias mediante el robo de gift cards
      Más recientemente, también hubo un caso en que penetraron en AWS a través del GitHub de Salesloft, robaron tokens OAuth y accedieron a cientos de cuentas de clientes de Salesforce

  • Es difícil distinguir si una cadena expuesta es realmente una API key o solo un valor aleatorio cualquiera

    • Por eso hoy muchos servicios agregan prefijos (prefix) como pat_ o sk_ a sus claves

  • La frase “Open Source Home Depot” extrañamente suena muy bien

  • Sorprende que GitHub u OpenAI no ofrezcan por su cuenta automatización para escanear hashes de tokens
    Parece algo sencillo de implementar para proteger a los clientes
    Alguien propone crear un servicio de escaneo independiente de la plataforma

    • GitHub ya opera un programa de secret scanning
      Antes, cuando se exponía un token de Discord, se desactivaba de inmediato y una cuenta del sistema enviaba un DM
    • El escaneo de GitHub es bastante sofisticado
      Según la documentación oficial,
      valida automáticamente patrones por proveedor principal y, si hace falta, revoca el token en forma automática
      Eso sí, es difícil detectar tokens expuestos fuera de GitHub
    • Aun así, siguen existiendo muchos casos que se les escapan
      Yo suelo reportar claves filtradas a través de programas de bug bounty
      Lástima que Home Depot no tenga bug bounty
    • Me pregunto si el token se encontró en un commit de un repositorio público
      Incluso el scanner gratuito de GitHub debería poder detectarlo sin problemas
    • GitHub tiene alianzas con varias empresas SaaS/PaaS para la validación y revocación automática de tokens

  • Alguien mencionó que con los datos de ese sistema interno incluso se podría haber hecho algo al nivel de insider trading