Исследователь скачал данные всех 270 000 сотрудников Intel через уязвимость на сайте визиток

/ ТехнологииНовости / Технологии

До конца февраля 2025 года существовала возможность загрузить конфиденциальную информацию о 270 000 сотрудников Intel. Об этом сообщает Итон З., исследователь безопасности, реверс-инженер и разработчик приложений. Вся эта информация была доступна с помощью небольшого обхода проверки «действительного пользователя» на сайте Intel India Operations (IIO), где сотрудники обычно заказывают свои визитки. Уязвимость, стоящая за потенциальным взломом, названным исследователем «Intel Outside», была подробно описана Intel в переписке, начавшейся в октябре 2024 года. Более того, сайт с визитками был лишь одним из четырёх обнаруженных с серьёзными дырами в безопасности.

Я рад поделиться своим последним исследовательским проектом, который я назвал проектом «Intel Outside». Прошлой осенью я обнаружил множество критических уязвимостей в веб-инфраструктуре Intel, которые позволили мне извлечь конфиденциальную информацию о 270 тыс. сотрудников/работников Intel и многое другое. pic.twitter.com/oRXiEP5mPn18 августа 2025

Из введения в его пространный пост в блоге следует, что Итон подумал, что проверка замков на сайтах Intel стоит того, учитывая историю уязвимостей процессорного оборудования компании. С таким главным результатом первоначальные инстинкты Итона оказались точными.

Как работал взлом: «Чем причудливее фон, тем неэффективнее будет страница входа»

Итон объясняет, что после первоначальной разведки периметра он решил проверить файлы JavaScript, стоящие за формой входа для заказа визиток. Иногда возможно «обмануть приложение, заставив его думать, что действительный пользователь вошел в систему, изменив функцию getAllAccounts так, чтобы она возвращала непустой массив», — рассказывает Итон. Действительно, это сработало и позволило Итону пройти мимо экрана входа.

Далее было замечено, что сайт на этом уровне позволял исследовать длинный список сотрудников, не ограничиваясь Индией, а по всему миру. Токен API, доступный анонимному пользователю (как Итон), предоставлял ещё более глубокий доступ к данным сотрудников.

Впоследствии Итона встревожило количество информации, которую можно было получить о каждом сотруднике. «Гораздо больше, чем когда-либо понадобилось бы этому простому сайту, — прокомментировал он. — API Intel очень щедры!»

Ситуация ухудшилась для Intel, а не для Итона. Удаление фильтра URL из исследуемого API в конечном итоге привело к получению «JSON-файла объёмом почти 1 ГБ». Внутри этой загрузки Итон отметил, что там были детали каждого сотрудника Intel (сейчас их меньше). Данные включали такие поля, как имя, роль, менеджер, номер телефона и почтовый адрес каждого сотрудника.

Три других сайта Intel были широко открыты лёгким взломом

Работа Итона проверила замки, прислушиваясь к щелчкам, на нескольких других сайтах Intel. Возможно, вы удивитесь, узнав, что были возможны ещё три уязвимых взлома в стиле Intel Outside?

На внутреннем сайте «Product Hierarchy» Итон обнаружил легко расшифровываемые хардкодные учётные данные. Снова призом стал обширный список данных сотрудников Intel, а также возможность получить административный доступ к системе. Аналогично, внутренний «Product Onboarding» Intel страдал от легко расшифровываемых хардкодных учётных данных.

Корпоративный вход на сайте поставщиков SEIMS Intel был ещё одной мерой безопасности, которую можно было обойти. Это обеспечило удивительный четвёртый способ, с помощью которого злоумышленник мог «загрузить данные каждого сотрудника Intel», — говорит Итон.

Итоги

Итон связался с Intel, изложив обнаруженные недостатки внутренних веб-сайтов, начиная с октября 2024 года. К сожалению, ни одна из работ Итона не квалифицировалась для выплат по программе вознаграждений за ошибки Intel, поскольку она была исключена некоторым мелким шрифтом. Возможно, ещё хуже то, что Итон получил всего один шаблонный «автоответ» от Intel в течение всего процесса.

Итон заметил, что все обнаруженные им уязвимости, о которых он сообщил Intel, были устранены к 28 февраля этого года. Публикация связанного блога 18 августа thus кажется совершенно разумной.

Источник: Tomshardware.com

Подписаться на обновления Новости / Технологии
Зарегистрируйтесь на сайте, чтобы отключить рекламу

ℹ️ Помощь от ИИ

В статье есть ошибки или у вас есть вопрос? Попробуйте спросить нашего ИИ-помощника в комментариях и он постарается помочь!

⚠️ Важно:

• AI Rutab читает ваши комментарии и готов вам помочь.
• Просто задайте вопрос 👍
• ИИ может давать неточные ответы!
• ИИ не скажет «Я не знаю», но вместо этого может дать ошибочный ответ.
• Всегда проверяйте информацию и не полагайтесь на него как на единственный источник.
• К ИИ-помощнику можно обратиться по имени Rutab или Рутаб.

Топ дня 🌶️

68
20
15
10
9
8
7
4
3

0 комментариев

Оставить комментарий

Все комментарии - Технологии