Обнаружена серьезная уязвимость в веб-ресурсах Intel, которая позволила злоумышленнику загрузить конфиденциальные данные о всех 270 тысячах сотрудников компании. Проблема касалась доступа к сайту для заказа визиток Intel India Operations, а также еще трех внутренних сайтов корпорации.
Об этом сообщает ProIT
Как удалось получить доступ к данным сотрудников
По данным исследователя безопасности Итона З., уязвимость позволяла обойти авторизацию на корпоративных сайтах. Он рассказал, что до конца февраля 2025 года можно было легко загрузить личную информацию работников Intel, воспользовавшись недостатками в защите сайта IIO. Проверяя JavaScript-код формы входа для заказа визиток, специалист изменил функцию getAllAccounts так, чтобы система воспринимала его как авторизованного пользователя. Благодаря этому он получил доступ к списку сотрудников не только из Индии, но и со всего мира. Дополнительно анонимный токен API открывал еще более широкие возможности для загрузки информации.
“Рад поделиться своим последним исследовательским проектом, который я назвал “Intel Outside”. Прошлой осенью я обнаружил множество критических уязвимостей в сетевой инфраструктуре Intel, которые позволили мне извлечь конфиденциальную информацию о 270 тысячах сотрудников Intel и многое другое”, — сообщает Итон З. в X.
После удаления фильтра в API хакер получил файл JSON размером почти 1 ГБ, содержащий имена, должности, контактные номера, имена руководителей и электронные адреса всех сотрудников Intel. Исследование также охватило еще три внутренних ресурса компании, в которых были найдены аналогичные уязвимости. Например, на ресурсе «Иерархия продуктов» были обнаружены легко дешифруемые закодированные учетные данные, что позволило получить административный доступ, а сайт «Адаптация продуктов» и поставщика SEIMS также давали возможность обойти защиту и извлечь большие массивы корпоративных данных.
Реакция Intel на инцидент
Итон З. сообщил, что обращался к Intel с детальным описанием найденных недостатков, однако компания не признала эти случаи подпадающими под программу вознаграждений за выявленные уязвимости. Исследователь получил лишь автоматический ответ. По его словам, все выявленные проблемы были устранены до конца февраля 2025 года, поэтому сейчас можно безопасно публиковать подробности этого инцидента.