Благодаря этой уязвимости хакер получил данные всех 270 000 работников Intel

Исследователь безопасности Итон З. обнаружил критические уязвимости на внутренних сайтах Intel, позволявших обойти авторизацию и получить доступ к персональным данным сотрудников компании. Эксперимент подробно описан на сайте EatonWorks .

Что произошло

Итон З., исследователь по безопасности, опубликовал на сайте EatonWorks исследование, в котором он описал эксперимент под названием Intel Outside. Прошлой осенью ему удалось обойти систему входа на сайте Intel India Operations, где заказывают визитки. Это открыло доступ к данным обо всех сотрудниках Intel по всему миру.

Как он это сделал

Итон С. проверил файлы JavaScript, стоящие по форме входа визитной карточки. Он пишет, что иногда можно «обмануть приложение, заставив его полагать, что вошел действительный пользователь, заменой функции getAllAccounts» так он обошел экран входа. Уже на этом этапе ему стали доступны списки работников не только из Индии, но и со всего мира.

Удаление URL-фильтра из API привело к получению файла JSON размером около 1 Гб. В нем содержались имена, должности, контакты, руководители и адреса 270 000 сотрудников.

Исследователь также обнаружил еще три аналогичных уязвимости на внутренних сайтах Intel, в том числе в системах «Иерархия продуктов» и «Адаптация продуктов». В некоторых случаях он получал даже административный доступ. Корпоративный вход на сайт поставщика Intel SEIMS тоже легко обойти.

Почему это интересно

Уязвимости были очень простыми и давали гораздо более широкий доступ, чем нужно для работы этих сайтов. Это ставит под вопрос уровень киберзащиты в одной из крупнейших технологических компаний мира, которая сама создает процессоры для большинства современных компьютеров.

Итон С. сообщил Intel о находках, однако компания не признала их подпадающими под программу вознаграждения за уязвимости. Исследователь получил только автоматический ответ, но, по его словам, все проблемы устранили до 28 февраля 2025 года.