Дослідник безпеки Ітон З. виявив критичні вразливості на внутрішніх сайтах Intel, які дозволяли обійти авторизацію та отримати доступ до персональних даних співробітників компанії. Експеримент детально описаний на сайті EatonWorks.
Що сталося
Ітон З., дослідник з безпеки, опублікував на сайті EatonWorks дослідження, в якому він описав експеримент під назвою Intel Outside. Минулої осені йому вдалося обійти систему входу на сайті Intel India Operations, де замовляють візитівки. Це відкрило доступ до даних про всіх співробітників Intel по всьому світу.
Як він це зробив
Ітон З. перевірив файли JavaScript, що стоять за формою входу візитної картки. Він пише, що іноді можна «обдурити застосунок, змусивши його думати, що ввійшов дійсний користувач, заміною функції getAllAccounts» так він оминув екран входу. Уже на цьому етапі йому стали доступні списки працівників — не тільки з Індії, але й з усього світу.
Видалення URL-фільтра з API призвело до отримання файлу JSON розміром майже 1 Гб. У ньому містилися імена, посади, контакти, керівники та адреси 270 000 співробітників.
Дослідник також виявив ще три аналогічні вразливості на внутрішніх сайтах Intel, зокрема в системах «Ієрархія продуктів» і «Адаптація продуктів». У деяких випадках він отримував навіть адміністративний доступ. Корпоративний вхід на сайт постачальника Intel SEIMS теж було легко обійти.
Чому це цікаво
Вразливості були надзвичайно простими й давали набагато ширший доступ, ніж потрібно для роботи цих сайтів. Це ставить під сумнів рівень кіберзахисту в одній з найбільших технологічних компаній світу, яка сама створює процесори для більшості сучасних комп’ютерів.
Ітон З. повідомив Intel про знахідки, однак компанія не визнала їх такими, що підпадають під програму винагороди за вразливості. Дослідник отримав лише автоматичну відповідь, але, з його слів, усі проблеми виправили до 28 лютого 2025 року.