2025/12/13 3:23

Home Depot GitHub token exposed for a year, granted access to internal systems

RSS: https://news.ycombinator.com/rss

要約▶

Japanese Translation:

要約：
2024年11月初旬、ホームデポ（Home Depot）の従業員が誤ってGitHubにアクセス・トークンを投稿し、約1年間公開状態のままでした。このトークンは数百件のプライベートリポジトリと重要なクラウドインフラ（注文処理、在庫管理、コード開発パイプラインなど）への完全な読み取り/書き込み権限を持ち、攻撃者が会社のコードベースやシステムを閲覧・改ざんできる状態にしました。セキュリティ研究者は何度もこの漏洩をホームデポ（CISOのクリス・ランジロッタ氏へのLinkedIn連絡を含む）に報告したものの、返答はありませんでした。TechCrunchが12月5日に問い合わせた際、発表担当者はメールを受領したと認めましたがコメントはありませんでした。検知後、トークンは削除されアクセス権も取り消されました。この事件はホームデポに正式な脆弱性開示・バグ報奨金プログラムがないことを浮き彫りにし、こうしたインシデントの迅速な対処について懸念を呼び起こし、今後の内部レビューや方針更新による再発防止策の検討を促しています。

本文

安全リサーチャーによると、ホームデポは従業員の一人が誤って公開したプライベートアクセス・トークンを介して内部システムへのアクセスを1年間も許可したままであったとのことです。
調査者はその露出トークンを発見し、ホームデポに対して個別に安全性の欠陥を通知しようと試みましたが、数週間にわたり無視されていました。
TechCrunch が同社代表者へ連絡したことで、今回の漏えいは修正されました。

背景

11月初旬、ベン・ジマーマン氏は、2024年初めに公開されたホームデポ従業員の GitHub アクセス・トークンを発見しました。
トークンをテストしたところ、数百件にわたるプライベートなホームデポのソースコードリポジトリへアクセスでき、内容の変更も可能でした。
さらにそのキーは、注文処理や在庫管理システム、コード開発パイプラインなど、同社のクラウドインフラ全体へのアクセスを許可していました。
ホームデポは2015年から GitHub 上に多くの開発・エンジニアリングインフラをホストしています（GitHub の顧客プロフィールによる）。

通知試み

ジマーマン氏は数件のメールをホームデポへ送ったものの、返答がありませんでした。
さらに LinkedIn を通じて情報セキュリティ担当 CISO のクリス・ランジロッタ氏に連絡しましたが、こちらも返信なし。
同氏は過去数か月で同様の露出を報告したところ、ほとんどの企業から感謝の返事があったと語ります。「ホームデポだけが私を無視した」と述べています。

ホームデポには脆弱性開示やバグバウンティプログラムがないため、ジマーマン氏は問題解決のため TechCrunch に託しました。

TechCrunch のアプローチ

12月5日、ホームデポ広報担当者ジョージ・レーン氏にメールを送ると、受領は確認したものの、その後のコメント要請には応じませんでした。
露出していたトークンはすでにオフラインになり、アクセス権も解除されています。
私たちはレーン氏に、トークンが有効だった期間中に他者が利用したかどうかを調査できるか尋ねましたが、返答はありませんでした。

連絡先

TechCrunch のセキュリティ編集長で This Week in Security の著者でもあるザック・ウィッタカー氏へは、Signal の暗号化メッセージ zackwhittaker.1337 か、メール zack.whittaker@techcrunch.com からご連絡ください。

同じ日のほかのニュース

一覧に戻る →

2025/12/13 5:57

GNU Unifont

2025/12/13 7:02

Show HN: Tiny VM sandbox in C with apps in Rust, C and Zig

## Japanese Translation: uvm32 は、単一の C ファイルで書かれたミニマリストで依存関係を持たない仮想マシンサンドボックスです。 STM32L0 のような非常に小型のマイクロコントローラ上で動作し、4 KB 未満のフラッシュと 1 KB の RAM を使用します。静的割り当てのみで非同期設計となっています。この VM は RISC‑V のサブセットを実装しており、軽量な管理インタフェースを公開しています。「if‑this‑then‑that」ロジックのために Lua、Duktape、MicroPython などの軽量スクリプトエンジンを置き換え、信頼できないコンポーネントや不安定な部品をサンドボックス化し、ターゲットコンパイラなしでモダン言語の「一度書けばどこでも実行できる」スクリプトを書けるようにすることが目的です。主な特徴: - バイトコードアプリは C、Zig、Rust、またはアセンブリで記述可能。 - 非ブロッキングでシンプルな実行モデル。安全かつ最小限の型付けを備えた FFI を使用し、ホスト IO（stdio/ネットワーク）は想定していません。 - デザインは高速よりも安全性を優先しています。 - すべてのソースコードは `uvm32/` ディレクトリにあります。最小限のホスト例は `host‑mini` にあり、より高度なホストは `host/`、`host-parallel`、`host-arduino` にあります。サンプルアプリケーションは VM の機能を示しています（C: helloworld, heap, conio, lissajous, maze, fib, sketch; Zig: zig‑mandel, zigtris, zigalloc, zigdoom; Rust: rust‑hello; アセンブリ: hello‑asm）。ビルドとテスト用の Dockerfile が提供されており、`make dockerbuild`、`make dockershell` で構築・起動し、その後 `make` を実行してサンプルをコンパイル・実行します。ドキュメントはヘッダファイル `uvm32/uvm32.h` と `doc/README.md` にあります。本プロジェクトは MIT ライセンスで公開されています。

2025/12/13 5:15

Rats Play DOOM

## Japanese Translation: > **概要：** > 著者らは、ラットがDOOMをプレイできる完全にオープンソースの仮想現実装置をリリースしました。ゼロから構築されたこのシステムには、ハードウェア設計・ファームウェア・ソフトウェアがGitHubに掲載されており、他研究室でも簡単に再現または改良できます。バージョン 1（v1）はニューヨークのヴィクトール・トー氏によって開発され、ラットにDOOMコリドーを走行させるよう訓練しました。この実装はViceとPC Gamerで紹介されました。 > > 改良版（v2）はよりモジュラー化され、180°×80°の視野を持つ折りたたみ可能なAMOLEDスクリーン、新しいボールドライバー、強化された給餌器、ゲームイベントに同期した正確な10 µLの砂糖水投与が可能な改良リワード回路を備えています。追加センサーとランニングマシンのボール周囲に設置された光学フロー運動捕捉システムでトラッキング精度が向上しています。 > > ソフトウェアはPythonベースのモジュラースタック（arena_scenario.py）で、PC上で実行され、Raspberry PiとTCP経由で通信します。Piはリアルタイムセンサー読み取り・ボール駆動・リワード制御を担当します。すべてのコンポーネントはGitHubに文書化されており、3Dプリント可能なパーツや回路図も公開されています。 > > チーム（ヴィクトール・トー＝ゲーマーラットコーチ、サンドル・マクラ＝電気技師、アコス・ブラシュェク＝ドキュメントリード）は、ラットが約2週間で慣れることを示しましたが、完全な訓練はまだ完了していません。 > > 現在の制限として、自動キャリブレーションスイートが無いため、ユーザーはセンサーの整列とリワードタイミングを手動で検証する必要があります。 > > 今後の課題は完全な訓練プロトコルの完成、キャリブレーションツールの改良、および他の行動タスクや種へ装置を拡張することです。低コストで完全にオープンなプラットフォームを提供することで、このプロジェクトは世界中の神経科学研究室の参入障壁を下げ、動物VR実験に依存する研究のスピードアップに寄与できる可能性があります。