Сегодня 09 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Исследователь нашёл уязвимости в четырёх сайтах Intel, но не получил за это ни гроша

Исследователь в области кибербезопасности, специалист по обратному проектированию и разработчик приложений под псевдонимом Eaton Z обнаружил несколько уязвимостей на принадлежащих Intel сайтах. Одна из них, получившая название Intel Outside, позволила ему скачать информацию о 270 тыс. сотрудников компании. Сама Intel закрыла уязвимости, но другой реакции на инцидент не последовало, и никакого вознаграждения эксперт не получил.

 Источник изображения: Rubaitul Azad / unsplash.com

Источник изображения: Rubaitul Azad / unsplash.com

Исследовательский проект эксперт начал с изучения сайта Intel India Operations (IIO), через который сотрудники компании обычно заказывают визитки. Изучая механизмы работы формы входа на сайт, он обнаружил, что валидация производится на стороне не сервера, а клиента при помощи функции getAllAccounts на JavaScript. Специалист изменил схему её работы, заставив функцию вернуть непустой массив — это сработало, и взломщик (к счастью, этичный) оказался в системе, которая теперь считала, что он уже прошёл авторизацию, и выдала ему токен API, с которым он получил доступ к данным сотрудников компании. Удалив установленный по умолчанию прямо в URL-адресе фильтр, эксперт добрался до информации обо всех работниках Intel, а не только индийского филиала, и скачал «файл JSON размером почти 1 Гбайт» с их персональными данными, включая имя, должность, непосредственного руководителя сотрудника, номер телефона и почтовый адрес.

Грубые ошибки он выявил и на других сайтах Intel. На внутреннем ресурсе Product Hierarchy обнаружились легко расшифровываемые учётные данные, внесённые прямо в программный код (хардкод), — эксплуатация этой уязвимости снова позволила ему получить огромный список персональных данных сотрудников компании и администраторский доступ к системе. Учётные данные на внутреннем ресурсе Product Onboarding также были внесены прямо в код. Взломать удалось и сайт для поставщиков SEIMS Supplier Site — эксперт обошёл механизм авторизации и снова скачал данные всех сотрудников Intel.

Будучи этичным хакером, Eaton Z в октябре 2024 года написал Intel и сообщил о своих открытиях. Ни одна из уязвимостей не попала под действующую в компании программу по выплате вознаграждений, а сама Intel не удостоила его полноценным ответом, ограничившись автоматической шаблонной отпиской. Тем не менее, по состоянию на 28 февраля этого года все уязвимости были устранены, и теперь, спустя без малого полгода, он предал инцидент широкой огласке.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Atari решила выпустить метроидванию Adventure of Samsara в один день с Hollow Knight: Silksong — пиковый онлайн в Steam достиг 12 человек 4 мин.
«До сих пор отходим от похмелья»: разработчики Ghost of Yotei с размахом отпраздновали перенос GTA VI 2 ч.
Нейросеть Google Veo 3 научилась создавать вертикальные видео для соцсетей 3 ч.
Разработчики Hollow Knight: Silksong сжалились над игроками — первый патч сделает метроидванию чуть проще 4 ч.
По мотивам «Повести временных лет» выпустят MMORPG на стыке научной фантастики и фэнтези с «эпической историей» и геймплеем «нового уровня» 5 ч.
Антиспам-сервис Microsoft начал блокировать безопасные ссылки в Teams и Exchange Online, и отправлять письма в карантин 5 ч.
Пароли «admin» и другие дыры в кибербезопасности сети ресторанов Burger King выявили белые хакеры 6 ч.
Из Meta продолжается массовый исход специалистов в сфере ИИ — Цукерберг пытается его остановить, но безуспешно 6 ч.
Microsoft тестирует новые ИИ-функции в «Проводнике» Windows 11 6 ч.
Бывший сотрудник подал на WhatsApp в суд из-за игнорирования проблем с кибербезопасностью 8 ч.
Дебютировали Apple Watch SE 3 с усиленным стеклом, AoD, повышенной автономностью и 5G — от $249 2 ч.
Nvidia внезапно представила ИИ-чип Rubin CPX со 128 Гбайт GDDR7 для обработки длинных контекстов 2 ч.
Стартап Modos разработал первый в мире дисплей на электронной бумаге с частотой обновления 75 Гц 3 ч.
Глава AMD Лиза Су выступит с докладом на CES 2026 — ожидаются анонсы о новых Ryzen, Radeon и Instinct 3 ч.
«Она для энтузиастов, готовых потратиться»: Lenovo попыталась оправдать высокую цену Legion Go 2 3 ч.
Геотермальная энергия стоит очень дорого, но стартап Dig Energy обещает снизить затраты на 80 % 4 ч.
Alterego представила носимое устройство с «почти телепатическими способностями» для общения со скоростью мысли 5 ч.
Бескабельные серверы и стойки Softbank помогут роботам вытеснить людей из ЦОД 5 ч.
Asus запустила продажи видеокарты ProArt GeForce RTX 5080 OC с отделкой под дерево и USB-C 6 ч.
QuantumScape показала первый в мире транспорт на твердотельных аккумуляторах — модифицированный мотоцикл Ducati V21L 6 ч.