โทเค็น GitHub ของ Home Depot ถูกเปิดเผยนาน 1 ปี จนเข้าถึงระบบภายในได้

 (techcrunch.com)
1 คะแนน โดย GN⁺ 2025-12-14 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • นักวิจัยด้านความปลอดภัยรายหนึ่งเปิดเผยว่าเขาพบ โทเค็นเข้าถึง GitHub ที่พนักงานของ Home Depot เผลอโพสต์ไว้บนออนไลน์ ทำให้ระบบภายในถูกเปิดให้เข้าถึงจากภายนอกเป็นเวลานาน 1 ปี
  • โทเค็นดังกล่าวให้สิทธิ์เข้าถึงและแก้ไข ที่เก็บซอร์สโค้ดส่วนตัวหลายร้อยแห่ง และยังเข้าถึง โครงสร้างพื้นฐานคลาวด์·ระบบประมวลผลคำสั่งซื้อ·ระบบจัดการสินค้าคงคลัง ได้ด้วย
  • นักวิจัยส่งอีเมลและข้อความ LinkedIn ไปยัง Home Depot หลายครั้ง แต่ ไม่มีการตอบกลับเป็นเวลาหลายสัปดาห์
  • Home Depot เพิ่งแก้ไขการเปิดเผยนี้และเพิกถอนสิทธิ์ของโทเค็น หลังจากที่ TechCrunch ติดต่อไปแล้ว
  • Home Depot ไม่มี ระบบรับแจ้งช่องโหว่หรือโครงการบั๊กบาวน์ตี ทำให้เหตุการณ์นี้สะท้อน ปัญหาการขาดระบบตอบสนองด้านความปลอดภัย

ภาพรวมเหตุการณ์การเปิดเผยการเข้าถึงระบบภายในของ Home Depot

  • นักวิจัยด้านความปลอดภัยรายหนึ่งพบ โทเค็นเข้าถึงแบบส่วนตัว ที่พนักงานของ Home Depot โพสต์ไว้บนออนไลน์
    • คาดว่าโทเค็นนี้ถูกเปิดเผยตั้งแต่ต้นปี 2024
    • นักวิจัยยืนยันว่าโทเค็นนี้สามารถใช้เข้าถึงและแก้ไข ที่เก็บ GitHub ของ Home Depot หลายร้อยแห่ง ได้
  • คีย์ที่รั่วไหลออกมานี้เปิดทางให้เข้าถึงระบบภายในหลายส่วนของ Home Depot เช่น โครงสร้างพื้นฐานคลาวด์, ระบบประมวลผลคำสั่งซื้อ, ระบบจัดการสินค้าคงคลัง, และ ไปป์ไลน์การพัฒนาโค้ด
    • Home Depot โฮสต์โครงสร้างพื้นฐานด้านการพัฒนาและวิศวกรรมเกือบทั้งหมดบน GitHub มาตั้งแต่ปี 2015

คำเตือนจากนักวิจัยและการตอบสนองของบริษัท

  • นักวิจัย Ben Zimmermann ส่งอีเมลไปยัง Home Depot หลายครั้ง แต่ ไม่มีการตอบกลับเป็นเวลาหลายสัปดาห์
    • เขายังส่งข้อความ LinkedIn ถึง Chris Lanzilotta ประธานเจ้าหน้าที่ฝ่ายความปลอดภัยสารสนเทศ (CISO) ของ Home Depot แต่ก็ไม่ได้รับคำตอบ
  • Zimmermann ระบุว่าในช่วงไม่กี่เดือนที่ผ่านมาเขาพบกรณีการเปิดเผยลักษณะคล้ายกันของบริษัทอื่น ๆ และบริษัทส่วนใหญ่ แสดงความขอบคุณ
    • เขากล่าวว่า “มีแค่ Home Depot เท่านั้นที่เมินเฉยต่อฉัน”

มาตรการหลังจาก TechCrunch เข้ามาเกี่ยวข้อง

  • Home Depot ไม่มี โปรแกรมรับแจ้งช่องโหว่หรือบั๊กบาวน์ตี
    • ด้วยเหตุนี้ Zimmermann จึงติดต่อ TechCrunch เพื่อขอให้ช่วยแก้ปัญหา
  • เมื่อ TechCrunch ติดต่อโฆษกของ Home Depot คือ George Lane เมื่อวันที่ 5 ธันวาคม เขายืนยันว่าได้รับอีเมลแล้ว แต่หลังจากนั้น ไม่ได้ตอบคำถามเพิ่มเติม
  • หลังจากนั้นโทเค็นที่เปิดเผยก็ถูกนำออกจากออนไลน์ และสิทธิ์เข้าถึงก็ ถูกเพิกถอนทันทีหลังจาก TechCrunch ติดต่อ

การขอให้ตรวจสอบเพิ่มเติมและการไม่ตอบกลับ

  • TechCrunch ถาม Home Depot ว่า สามารถตรวจสอบผ่านวิธีการทางเทคนิค เช่น บันทึกการทำงานของระบบ ได้หรือไม่ว่าโทเค็นนี้เคยถูกบุคคลอื่นนำไปใช้หรือไม่ แต่ ไม่ได้รับคำตอบ
  • ด้วยเหตุนี้จึงยังไม่สามารถยืนยันได้ว่า มีการเข้าถึงจากภายนอกจริงหรือไม่ หรือความเสียหายมีขนาดเท่าใด

ความหมายของเหตุการณ์นี้

  • กรณีนี้แสดงให้เห็นว่าแม้แต่บริษัทขนาดใหญ่ก็อาจปล่อยให้ ความล้มเหลวพื้นฐานในการจัดการคีย์เข้าถึง คงอยู่เป็นเวลานานได้
  • อีกทั้งยังสะท้อนว่า การไม่มีระบบรับแจ้งช่องโหว่ด้านความปลอดภัย อาจทำให้การแก้ไขปัญหาล่าช้า
  • การที่มีการดำเนินการก็ต่อเมื่อ TechCrunch เข้ามาเกี่ยวข้องแล้ว ยิ่งตอกย้ำ ความสำคัญของการตรวจสอบจากภายนอก

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-12-14
ความเห็นจาก Hacker News

  • TechCrunch สอบถาม Home Depot เกี่ยวกับ access token ที่รั่วไหล แต่ดูเหมือนบริษัทจะโยนเรื่องให้ฝ่ายกฎหมายแล้วเข้าสู่โหมดเงียบ
    เป็นไปได้ว่าคำแถลงอย่างเป็นทางการที่จะออกมาภายหลังจะเต็มไปด้วย ถ้อยคำทางกฎหมายแบบเลี่ยงความรับผิด

    • เพราะแบบนี้เวลาเจอกรณีลักษณะนี้ ฉันก็จะติดต่อ ฝ่ายกฎหมายทางไปรษณีย์ ทันที
      มันอาจเป็นประเด็นทางกฎหมายจริง ๆ ก็ได้ และฝั่งนั้นจะมีคนที่อ่านแล้วดำเนินการได้เป็นผู้รับมือ
      ก่อนหน้านี้ตอนธนาคารตัดการติดต่อกับฉันเพราะปัญหาการยืนยันตัวตน ก็เคยแก้ได้ทันทีด้วยจดหมายฉบับเดียว
    • ในสภาพแวดล้อมทุกวันนี้ที่มี ความเสี่ยงเรื่องการฟ้องร้อง สูง ฉันคิดว่าการตอบสนองของ Home Depot ก็เป็นทางเลือกที่สมเหตุสมผลในทางปฏิบัติ
      แน่นอนว่าเราอยากเห็นรายงานวิเคราะห์ภายใน แต่ในโลกที่ผู้ถือหุ้นมาก่อน ทุกอย่างก็ต้องระมัดระวังเป็นธรรมดา

  • สัปดาห์ที่แล้วฉันเผลอทำ คีย์ API ของ OpenAI, Anthropic และ Gemini รั่ว
    คีย์ถูกพิมพ์ออกมาตรง ๆ ใน log ของ Claude Code ซึ่ง Anthropic ส่งอีเมลมาแล้วปิดการใช้งานคีย์ทันที
    ตรงกันข้าม OpenAI กับ Google ไม่มีการแจ้งเตือนใด ๆ
    โดยเฉพาะคีย์ Gemini ของ Google แค่หาตำแหน่งก็ใช้เวลาไป 10~15 นาทีแล้ว และดูเหมือนมันยังคงเปิดใช้งานอยู่
    ยิ่งยุคนี้มี vibe coding มากเท่าไร ทั้งผู้ออกคีย์และผู้ใช้ก็ยิ่งต้องใส่ใจสุขอนามัยในการจัดการคีย์มากขึ้น

    • พอการจัดการคีย์ที่แยกย่อยแบบนี้มีมากขึ้นเรื่อย ๆ กลับยิ่งทำให้ ความกังวลด้านความปลอดภัย เพิ่มขึ้น จนไม่รู้ด้วยซ้ำว่ากำลังทำอะไรอยู่
    • แค่ได้ยินคำว่า “vibe coding” ก็หนาวสันหลังแล้ว
      ทุกวันนี้อุบัติเหตุด้านความปลอดภัยจาก brogramming ก็มีเยอะอยู่แล้ว และมันอาจเพิ่มขึ้นอีก 100 เท่าก็ได้
    • อยากรู้ว่าคีย์รั่วออกไปได้อย่างไร
      ถ้ามันแค่ไปค้างอยู่ใน log ของ Claude Code จริง ๆ การที่ Google รับรู้เรื่องนั้นได้ก็น่าประหลาดใจ

  • ฉันเองก็เคยเผลอเอา GitHub PAT ส่วนตัวขึ้นไปไว้ใน public repository มาก่อน
    ทุกครั้ง GitHub จะปิดการใช้งานโทเค็นทันทีและส่งการแจ้งเตือนมา

    • ฟีเจอร์ ตรวจจับโทเค็นอัตโนมัติ ของ GitHub น่าประทับใจทีเดียว
      กรณีของฉันไม่ได้เสียหายมาก แต่ระบบทำงานได้ดี

  • เหมือนมุก “Home Depot 2x4” ถ้าใครหยิบวัสดุไปได้ตามใจชอบตลอด 1 ปี ก็คงมีคนสร้าง ทรงกลมไม้ ไปแล้วแน่ ๆ

    • แต่ก็ไม่รู้ว่าไม้จะทนใน สภาพแวดล้อมใต้ทะเลลึก ได้แค่ไหน

  • กำลังคิดอยู่ว่าควรจัดการ secrets management อย่างไรดี
    ตอนนี้ยัง SSH เข้าไปแก้ไฟล์ .env ด้วยมืออยู่

    • ถ้ามีแอปเดียว ไฟล์ .env ก็เพียงพอแล้ว
      ยังไงถ้าแอปโดนเจาะ ความลับก็จะอยู่ในหน่วยความจำอยู่ดี จึงเลี่ยงการเปิดเผยไม่ได้
      ถ้าทำได้ การตั้ง การจำกัดการเข้าถึงตาม IP คือแนวป้องกันที่แข็งแกร่งที่สุด
    • ใช้ SOPS ก็ช่วยลดขอบเขตการจัดการได้
      ถ้าใช้ Age เป็น backend ก็แค่เก็บ private key ระยะยาวไว้บนเซิร์ฟเวอร์เพียงดอกเดียว
    • หรือจะใช้ ฟังก์ชัน secrets แบบ native ของแพลตฟอร์ม VM หรือ 1Password API ก็เป็นอีกทางเลือกหนึ่ง

  • มีคนถามว่า “ข้อมูลนั้นสามารถถูกใช้สร้างความเสียหายอะไรได้บ้าง?”

    • อาจ ดาวน์โหลดซอร์สโค้ดภายในทั้งหมด ไปวิเคราะห์หาช่องโหว่ได้ หรือ
      ถ้าใช้ GitHub ในการ deploy ก็อาจแทรกฟังก์ชันอันตรายเข้า production ได้
    • ตัวอย่างเช่น กลุ่มแฮ็กชื่อ Atlas Lion ก็มุ่งเป้าระบบภายในของร้านค้าปลีกขนาดใหญ่
      เพื่อทำกำไรจาก การขโมย gift card
      ไม่นานมานี้ก็มีกรณีที่เจาะเข้า AWS ผ่าน GitHub ของ Salesloft แล้วขโมย OAuth token เพื่อเข้าถึงบัญชีลูกค้า Salesforce หลายร้อยราย

  • แยกได้ยากว่าสตริงที่ถูกเปิดเผยนั้นเป็น API key จริง หรือเป็นแค่ค่าที่สุ่มขึ้นมาเฉย ๆ

    • เพราะแบบนี้ทุกวันนี้หลายบริการจึงใส่ prefix อย่าง pat_, sk_ ไว้หน้าคีย์

  • คำว่า “Open Source Home Depot” ฟังดูเข้ากันอย่างประหลาด

  • น่าแปลกที่ GitHub หรือ OpenAI ยังไม่มีระบบ สแกน hash ของโทเค็นแบบอัตโนมัติ ที่ทำเองภายใน
    ดูเหมือนจะทำได้ไม่ยากนักเพื่อความปลอดภัยของลูกค้า
    มีคนเสนอว่าถ้าทำบริการสแกนที่ไม่ผูกกับแพลตฟอร์มใดแพลตฟอร์มหนึ่งก็น่าสนใจ

    • จริง ๆ GitHub มี โปรแกรม secret scanning อยู่แล้ว
      เมื่อก่อนถ้า Discord token รั่ว ระบบจะปิดการใช้งานทันทีและบัญชีระบบจะส่ง DM มา
    • การสแกนของ GitHub ค่อนข้างละเอียด
      ตาม เอกสารทางการ
      ระบบจะตรวจสอบแพตเทิร์นของผู้ให้บริการหลักแต่ละรายโดยอัตโนมัติ และถ้าจำเป็นก็ยกเลิกโทเค็นให้อัตโนมัติ
      อย่างไรก็ตาม โทเค็นที่รั่วไหลนอก GitHub นั้นตรวจจับได้ยาก
    • ถึงอย่างนั้นก็ยังมี กรณีที่หลุดการตรวจจับ อยู่มาก
      ฉันมักรายงานคีย์ที่รั่วผ่านโปรแกรม bug bounty อยู่บ่อย ๆ
      น่าเสียดายที่ Home Depot ไม่มี bug bounty
    • สงสัยว่าโทเค็นถูกพบใน commit ของ public repository หรือไม่
      แม้แต่ สแกนเนอร์ฟรีของ GitHub ก็น่าจะตรวจจับได้เพียงพอ
    • GitHub มีความร่วมมือกับผู้ให้บริการ SaaS/PaaS หลายรายในเรื่อง การตรวจสอบและยกเลิกโทเค็นอัตโนมัติ

  • มีคนพูดถึงว่าด้วยข้อมูลจากระบบภายในนี้ อาจมีคนเอาไปทำเรื่องระดับ insider trading ได้เลย