Сегодня 30 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Исследователь нашёл уязвимости в четырёх сайтах Intel, но не получил за это ни гроша

Исследователь в области кибербезопасности, специалист по обратному проектированию и разработчик приложений под псевдонимом Eaton Z обнаружил несколько уязвимостей на принадлежащих Intel сайтах. Одна из них, получившая название Intel Outside, позволила ему скачать информацию о 270 тыс. сотрудников компании. Сама Intel закрыла уязвимости, но другой реакции на инцидент не последовало, и никакого вознаграждения эксперт не получил.

 Источник изображения: Rubaitul Azad / unsplash.com

Источник изображения: Rubaitul Azad / unsplash.com

Исследовательский проект эксперт начал с изучения сайта Intel India Operations (IIO), через который сотрудники компании обычно заказывают визитки. Изучая механизмы работы формы входа на сайт, он обнаружил, что валидация производится на стороне не сервера, а клиента при помощи функции getAllAccounts на JavaScript. Специалист изменил схему её работы, заставив функцию вернуть непустой массив — это сработало, и взломщик (к счастью, этичный) оказался в системе, которая теперь считала, что он уже прошёл авторизацию, и выдала ему токен API, с которым он получил доступ к данным сотрудников компании. Удалив установленный по умолчанию прямо в URL-адресе фильтр, эксперт добрался до информации обо всех работниках Intel, а не только индийского филиала, и скачал «файл JSON размером почти 1 Гбайт» с их персональными данными, включая имя, должность, непосредственного руководителя сотрудника, номер телефона и почтовый адрес.

Грубые ошибки он выявил и на других сайтах Intel. На внутреннем ресурсе Product Hierarchy обнаружились легко расшифровываемые учётные данные, внесённые прямо в программный код (хардкод), — эксплуатация этой уязвимости снова позволила ему получить огромный список персональных данных сотрудников компании и администраторский доступ к системе. Учётные данные на внутреннем ресурсе Product Onboarding также были внесены прямо в код. Взломать удалось и сайт для поставщиков SEIMS Supplier Site — эксперт обошёл механизм авторизации и снова скачал данные всех сотрудников Intel.

Будучи этичным хакером, Eaton Z в октябре 2024 года написал Intel и сообщил о своих открытиях. Ни одна из уязвимостей не попала под действующую в компании программу по выплате вознаграждений, а сама Intel не удостоила его полноценным ответом, ограничившись автоматической шаблонной отпиской. Тем не менее, по состоянию на 28 февраля этого года все уязвимости были устранены, и теперь, спустя без малого полгода, он предал инцидент широкой огласке.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
В Steam вышла демоверсия Sleep Awake — психоделического хоррора про борьбу со сном от автора Spec Ops: The Line и гитариста Nine Inch Nails 3 мин.
Terminator 2D: No Fate опять отправили в будущее — аркадный боевик по мотивам «Терминатор 2: Судный день» не выйдет 31 октября 22 мин.
OpenAI начала продвигать функцию онлайн-покупок непосредственно из чат-бота 2 ч.
Геймер собрал внутри Minecraft рабочий ChatGPT — на это ушло 439 млн блоков 10 ч.
В Steam стартовала грандиозная осенняя распродажа — скидку получили более 30 тысяч игр 12 ч.
Браузер Brave обновил фирменный ИИ-поиск: теперь он даёт развёрнутые ответы 13 ч.
Календарь релизов — 29 сентября – 5 октября: Ghost of Yotei, Train Sim World 6 и ремейк FF Tactics 13 ч.
Слухи: Embracer взялась за амбициозный боевик по «Властелину колец», который бросит вызов Hogwarts Legacy 14 ч.
В ChatGPT появился полный родительский контроль после трагической гибели подростка из США 15 ч.
Capcom оставит Monster Hunter Wilds, Rise и World на Windows 10 без поддержки, причём очень скоро 15 ч.