安全事件概述 - 家得宝一名员工可能在2024年初错误地在网上发布了一个私人GitHub访问令牌 导致公司内部系统暴露长达约一年时间 [1][2] - 安全研究员在2024年11月初发现了该暴露的令牌 并尝试私下提醒公司但其警告被忽视数周 直到媒体介入后漏洞才于2024年12月上旬被修复 [1][5] 暴露令牌的访问权限与风险 - 该令牌允许访问家得宝在GitHub上托管的数百个私有源代码仓库 并具备修改其内容的能力 [2] - 密钥还允许访问公司的云基础设施 包括订单履行和库存管理系统以及代码开发管道等关键内部系统 [3] - 自2015年以来 家得宝已将大量开发和工程基础设施托管于GitHub平台 [3] 公司的响应与沟通情况 - 安全研究员通过多次电子邮件及LinkedIn联系家得宝首席信息安全官均未获得任何回应 [3][4] - 家得宝缺乏报告安全漏洞的正式渠道 例如漏洞披露或漏洞赏金计划 这迫使研究员联系媒体以解决问题 [5] - 公司发言人在2024年12月5日确认收到媒体问询但未回应后续追问 也未说明是否具备技术手段（如日志）来核查暴露期间令牌是否被他人滥用 [5][6]