Утверждается, что до конца февраля 2025 года существовала возможность получения конфиденциальной информации о 270 000 сотрудниках Intel, согласно заявлению исследователя безопасности, реверс-инженера и разработчика приложений, известного как Eaton Z. Якобы доступ к этим данным был получен с помощью элементарной манипуляции с "валидным пользователем" на сайте Intel India Operations (IIO), используемом сотрудниками для заказа визитных карточек.
Уязвимость, которую Eaton Z назвал "Intel Outside", была, по его словам, подробно описана в переписке с Intel, начавшейся в октябре 2024 года. Более того, сайт визитных карточек якобы был лишь одним из четырёх сайтов Intel с серьёзными уязвимостями в безопасности. В своём блоге Eaton Z предполагает, что решил проверить защиту сайтов Intel, основываясь на истории уязвимостей процессоров компании, однако достоверность этих утверждений требует проверки.
Механизм предполагаемого взлома
Eaton Z утверждает, что после поверхностного анализа сайта он изучил JavaScript-файлы, связанные с формой входа на сайт визитных карточек. По его словам, модификация функции `getAllAccounts` для возврата непустого массива позволила обойти страницу входа, обманув приложение, будто пользователь авторизован. Если это правда, подобная уязвимость указывает на серьёзные недочёты в клиентской проверке подлинности, хотя независимого подтверждения этих утверждений пока нет.
Далее Eaton Z сообщает, что сайт предоставлял доступ к списку сотрудников Intel по всему миру, а не только в Индии. Токен API, якобы доступный анонимному пользователю, обеспечивал ещё более глубокий доступ к данным. Объём информации, который, по словам исследователя, можно было извлечь — включая имена, должности, руководителей, номера телефонов и почтовые адреса сотрудников, — кажется чрезмерным для сайта, предназначенного для заказа визитных карточек. Eaton Z утверждает, что удаление фильтра URL из API позволило скачать JSON-файл размером около 1 ГБ, содержащий данные всех сотрудников Intel. Однако без независимой верификации трудно оценить достоверность и масштаб этих утверждений, особенно учитывая, что число сотрудников Intel, указанное в сообщении, требует уточнения.
Дополнительные уязвимости
Eaton Z также утверждает, что обнаружил уязвимости на трёх других сайтах Intel. На сайте "Product Hierarchy" он якобы нашёл легко расшифровываемые жёстко закодированные учётные данные, которые предоставляли доступ к данным сотрудников и административным функциям системы. Аналогичная проблема, по его словам, была обнаружена на сайте "Product Onboarding". Корпоративный вход на сайт поставщиков SEIMS также, как утверждается, можно было обойти, что предоставило четвёртый способ доступа к данным сотрудников. Эти утверждения вызывают вопросы о качестве защиты внутренних систем Intel, но без стороннего аудита или дополнительных доказательств они остаются предположениями.
Реакция Intel и вопросы к процессу
Eaton Z сообщает, что начал переписку с Intel в октябре 2024 года, уведомляя о выявленных уязвимостях. Однако его работа не была вознаграждена в рамках программы Intel по поиску ошибок из-за неких ограничений в условиях, что вызывает вопросы о прозрачности и эффективности программы. Более того, Eaton Z утверждает, что получил от Intel лишь одно автоматическое сообщение, что, если правда, указывает на недостаточную вовлечённость компании в коммуникацию с исследователями.
Согласно Eaton Z, все указанные уязвимости были устранены Intel к 28 февраля 2025 года, что позволило ему опубликовать свой блог 18 августа. Время, потребовавшееся на устранение проблем, и отсутствие активного взаимодействия с исследователем могут свидетельствовать о системных недостатках в подходе Intel к безопасности, хотя без дополнительной информации сложно делать окончательные выводы. Публикация отчёта спустя почти шесть месяцев после исправления уязвимостей кажется разумной, но требует проверки на предмет возможного преувеличения или неточностей в описании.
В целом, эти утверждения подчёркивают важность независимого аудита и прозрачных процессов для обработки сообщений об уязвимостях, особенно в компаниях масштаба Intel. Однако без дополнительных доказательств или подтверждения от самой Intel к выводам Eaton Z следует относиться с осторожностью.
Оригинал
Уникальность
