Investigación de seguridad
14/12/2025 | 13:37
Redacción Cadena 3
Un investigador de seguridad, Ben Zimmermann, reveló que Home Depot expuso el acceso a sus sistemas internos durante un año, tras la publicación accidental de un token de acceso privado por parte de un empleado. Este token, que fue descubierto por Zimmermann en noviembre, otorgó acceso a cientos de repositorios de código privados de la empresa en GitHub, así como a su infraestructura en la nube, incluyendo sistemas de gestión de pedidos e inventarios.
Zimmermann intentó alertar a Home Depot sobre esta grave vulnerabilidad, enviando varios correos electrónicos, pero no recibió respuesta. A pesar de que la empresa tiene una larga historia de alojar su infraestructura de desarrollo en GitHub desde 2015, no contaba con un programa de divulgación de vulnerabilidades o recompensas por errores, lo que dificultó la comunicación del investigador.
Después de varias semanas sin respuesta, Zimmermann decidió contactar a TechCrunch para que se hiciera eco de la situación. Al ser contactado por el medio el 5 de diciembre, un portavoz de Home Depot, George Lane, reconoció la recepción del correo, pero no proporcionó comentarios adicionales. Sin embargo, el token expuesto fue eliminado y su acceso revocado poco después de que se notificara a la empresa.
Zimmermann expresó su frustración, indicando que ha informado sobre exposiciones similares a otras empresas, las cuales han agradecido su intervención. "Home Depot es la única compañía que me ignoró", afirmó. La falta de un canal adecuado para reportar fallas de seguridad en Home Depot plantea interrogantes sobre la protección de sus sistemas internos y la respuesta ante incidentes de seguridad.
La situación pone de relieve la importancia de contar con protocolos claros para la divulgación de vulnerabilidades, especialmente en empresas que manejan grandes volúmenes de datos y operaciones críticas. La exposición de este token durante tanto tiempo podría haber permitido a actores maliciosos acceder a información sensible y comprometer la seguridad de la empresa.
¿Qué ocurrió con Home Depot?
Un investigador descubrió que Home Depot expuso el acceso a sus sistemas internos durante un año debido a un token de acceso publicado accidentalmente.
¿Quién alertó sobre la vulnerabilidad?
El investigador de seguridad Ben Zimmermann intentó notificar a Home Depot sobre la exposición del token.
¿Cuándo se descubrió la vulnerabilidad?
La vulnerabilidad fue descubierta en noviembre de 2025, aunque el token estuvo expuesto desde principios de 2024.
¿Cómo reaccionó Home Depot?
Home Depot no respondió a las alertas de Zimmermann durante semanas, pero tras la intervención de TechCrunch, el acceso fue revocado.
¿Por qué es importante este caso?
Resalta la necesidad de tener protocolos claros para la divulgación de vulnerabilidades en empresas que manejan información sensible.
Te puede Interesar
Incidente de seguridad en EE.UU.
Una brecha de seguridad en 700Credit, que realiza verificaciones de crédito para concesionarios en EE.UU., expuso datos personales de 5.6 millones de personas, incluyendo nombres y números de seguridad social.
Actualizaciones de seguridad
Ambas compañías implementaron parches para proteger a sus usuarios de una campaña de hacking. Google corrigió vulnerabilidades en Chrome, mientras que Apple actualizó iPhones y iPads.
Vulnerabilidad en Hama Film
Un investigador de seguridad alertó sobre una vulnerabilidad en el sitio de Hama Film, que permite descargar fotos de clientes. La empresa aún no ha solucionado el problema.