【量子位 2025年12月13日讯】全球家居零售巨头家得宝(Home Depot)陷入严重安全危机。12月12日,据TechCrunch披露,安全研究员本·齐默尔曼(Ben Zimmermann)发现,家得宝一名员工早在2024年初误将私人GitHub访问令牌公开,导致公司内部系统暴露长达一年——该令牌可直接访问数百个私有源代码仓库,甚至能操控订单履行、库存管理等核心云基础设施。更令人担忧的是,齐默尔曼多次向家得宝反馈漏洞却遭无视,直至TechCrunch介入后,家得宝才紧急吊销令牌修复漏洞,但期间是否有第三方利用该令牌窃取数据,至今仍是未知数。
漏洞细节:一枚令牌牵出“全链条风险”,核心业务系统裸奔一年
根据齐默尔曼的技术验证与披露信息,此次家得宝的安全漏洞呈现“影响范围广、暴露时间长、修复响应慢”三大特点,几乎触及企业数据安全的所有核心风险点:
-
令牌权限“超纲”,覆盖代码到业务全流程齐默尔曼在2025年11月初发现这枚公开在GitHub的员工令牌后,通过测试确认其权限远超“普通开发权限”:不仅能查看、修改家得宝托管在GitHub上的数百个私有源代码仓库(涵盖官网开发、供应链管理系统代码),还可接入亚马逊AWS云环境中的核心业务系统——包括实时订单处理模块(可查看消费者收货地址、支付信息)、全国门店库存数据库(含商品补货计划、供应商合作数据),以及内部开发流水线(能植入恶意代码影响系统功能)。家得宝自2015年起就将大部分研发与工程基础设施迁移至GitHub,这意味着一枚令牌的泄露,相当于向外界敞开了“从代码层到业务层”的全链条访问大门。
-
暴露时间横跨14个月,风险长期潜伏从令牌公开的2024年初,到2025年12月漏洞修复,时间已过去近14个月。齐默尔曼指出,早期他发现家得宝的代码仓库存在“定期更新痕迹”,推测期间有内部员工正常使用该令牌工作,却未察觉其已被公开。更危险的是,GitHub作为全球开发者常用平台,此类公开令牌可能被自动化爬虫抓取——暗网中曾多次出现“企业GitHub令牌售卖”案例,单枚高权限令牌售价可达数千美元,家得宝此次漏洞是否已被黑产利用,目前尚无定论。
-
厂商漠视反馈,安全响应机制形同虚设齐默尔曼在发现漏洞后,曾通过家得宝官网预留邮箱、LinkedIn私信首席信息安全官(CISO)克里斯·兰齐洛塔(Chris Lanzilotta)等多种方式反馈,但均未收到回应。“我过去半年向12家企业披露过类似漏洞,家得宝是唯一无视我的公司。”齐默尔曼表示。更关键的是,家得宝至今未建立漏洞披露计划(VDP)或漏洞赏金项目,外部研究员发现风险后,几乎没有正规渠道推动修复,只能通过媒体介入倒逼企业行动。
修复进展:令牌紧急吊销,但“数据是否被窃”成谜
在TechCrunch于12月5日联系家得宝发言人乔治·莱恩(George Lane)后,企业才启动应急响应:
-
漏洞已修复,但未披露技术细节家得宝确认已吊销暴露的GitHub令牌,并移除了公开的令牌信息。齐默尔曼后续测试显示,原令牌已无法访问任何内部系统,漏洞技术层面已修复。但家得宝未解释“员工为何会误公开令牌”“是否存在其他类似泄露”,也未说明是否对相关员工进行了安全培训。
-
数据泄露排查“无下文”,用户知情权被忽视TechCrunch曾追问家得宝,是否通过系统日志排查“漏洞期间是否有第三方使用令牌访问”,以及是否有消费者或供应商数据泄露,但截至发稿未获回应。根据美国《加州消费者隐私法》(CCPA)与《欧盟通用数据保护条例》(GDPR),企业若发生可能影响用户数据的安全事件,需在72小时内通知受影响人群。但目前家得宝既未发布公开声明,也未向用户发送风险提示,消费者无法判断自己的订单、支付信息是否存在泄露风险。
行业警示:GitHub令牌成“重灾区”,企业安全管理存三大盲区
家得宝的漏洞事件并非个例,近年来因代码仓库配置不当、员工操作失误导致的安全事件频发,暴露企业在开发者安全管理上的普遍漏洞:
-
盲区1:令牌管理“ laissez-faire(放任自流)”多数企业未建立“令牌全生命周期管理”机制——员工离职后令牌未及时回收、高权限令牌未设置有效期、未禁用“硬编码令牌”(将令牌直接写入代码)等问题普遍存在。2025年Verizon数据泄露调查报告显示,34%的企业数据泄露与“凭证滥用”相关,其中GitHub令牌泄露占比达19%。类似案例还有2024年微软某团队因公开GitHub令牌,导致Azure DevOps系统被入侵,部分客户数据泄露。
-
盲区2:外部漏洞反馈渠道缺失据Gartner统计,全球仅38%的大型企业建立了漏洞披露计划(VDP),零售行业这一比例更低至25%。缺乏正规反馈渠道,不仅会导致漏洞长期潜伏,还可能迫使研究员选择“公开披露”,反而扩大风险影响。例如2023年沃尔玛曾因未回应漏洞反馈,被研究员在黑客大会上公开其供应链系统漏洞,引发股价短期下跌。
-
盲区3:“云原生”时代的安全意识滞后随着企业将研发、业务系统迁移至GitHub、AWS等云平台,安全边界已从“企业内网”扩展至“第三方平台”,但许多企业的安全策略仍停留在“传统内网防护”阶段。家得宝将核心基础设施托管GitHub后,却未启用GitHub Advanced Security等安全增强功能(如令牌泄露检测、代码漏洞扫描),相当于在“云环境”中未安装“安全门锁”。
用户与企业防护建议:多维度规避风险
针对此次事件暴露的问题,安全专家分别为消费者与企业提供防护建议:
-
消费者:警惕异常交易,关注官方通知近期使用家得宝服务的用户,需留意银行卡账单是否有不明消费,邮箱、手机是否收到陌生验证码;若未来收到家得宝的“数据泄露通知”,需及时修改账户密码,并开启两步验证(2FA)。
-
企业:立即排查三大风险点
-
令牌与凭证管理:通过GitHub Enterprise、AWS IAM等工具,全面排查是否有公开或过期的高权限令牌,设置令牌自动过期机制,禁止硬编码凭证;
-
建立漏洞反馈渠道:尽快上线漏洞披露计划(VDP),与HackerOne、Bugcrowd等平台合作启动漏洞赏金项目,让外部研究员有正规途径反馈风险;
-
加强开发者安全培训:定期开展“代码仓库安全操作”培训,重点讲解令牌保护、敏感信息脱敏等规范,避免员工因操作失误引发漏洞。
目前,家得宝仍未就此次事件发布公开声明,也未透露是否会建立长效安全机制。这场因“一枚令牌”引发的安全危机,不仅给家得宝的企业声誉蒙上阴影,更给所有依赖第三方平台的企业敲响警钟——在云原生时代,“代码仓库安全”已不是“研发部门的小事”,而是关乎企业生存的“生命线”。正如齐默尔曼所言:“企业的安全漏洞,往往藏在‘员工一个不小心’和‘管理层一次不重视’里。”
