هایم دیپوت دسترسی به سیستمهای داخلی را برای یک سال افشا کرد
یک محقق امنیتی میگوید هایم دیپوت برای مدت یک سال دسترسی به مخازن کد منبع خصوصی GitHub و سیستمهای ابری داخلی خود را در معرض دید قرار داده بود.
یک محقق امنیتی ادعا میکند که هایم دیپوت به مدت یک سال دسترسی به سیستمهای داخلی خود را در معرض خطر قرار داده بود. این موضوع پس از آن رخ داد که یکی از کارمندان شرکت بهطور تصادفی یک توکن دسترسی خصوصی را به صورت عمومی منتشر کرد.
جزئیات امنیتی
نحوه کشف آسیبپذیری
- محقق امنیتی بن زیمرمن در نوامبر ۲۰۲۴ یک توکن دسترسی GitHub متعلق به کارمند هایم دیپوت را کشف کرد
- این توکن اجازه دسترسی به صدها مخزن کد منبع خصوصی را میداد
- امکان اصلاح محتوای مخازن و دسترسی به زیرساختهای ابری شرکت وجود داشت
سیستمهای در معرض خطر
- سیستمهای مدیریت موجودی و اجرای سفارشات
- خطوط تولید کد و محیطهای توسعه
- زیرساختهای مهندسی و توسعه نرمافزار
“هایم دیپوت تنها شرکتی بود که مرا نادیده گرفت” – بن زیمرمن
هایم دیپوت از سال ۲۰۱۵ زیرساختهای توسعه خود را روی GitHub میزبانی میکند. این شرکت فاقد برنامهای برای گزارش آسیبپذیریهای امنیتی است.
