Сегодня 12 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Исследователь нашёл уязвимости в четырёх сайтах Intel, но не получил за это ни гроша

Исследователь в области кибербезопасности, специалист по обратному проектированию и разработчик приложений под псевдонимом Eaton Z обнаружил несколько уязвимостей на принадлежащих Intel сайтах. Одна из них, получившая название Intel Outside, позволила ему скачать информацию о 270 тыс. сотрудников компании. Сама Intel закрыла уязвимости, но другой реакции на инцидент не последовало, и никакого вознаграждения эксперт не получил.

 Источник изображения: Rubaitul Azad / unsplash.com

Источник изображения: Rubaitul Azad / unsplash.com

Исследовательский проект эксперт начал с изучения сайта Intel India Operations (IIO), через который сотрудники компании обычно заказывают визитки. Изучая механизмы работы формы входа на сайт, он обнаружил, что валидация производится на стороне не сервера, а клиента при помощи функции getAllAccounts на JavaScript. Специалист изменил схему её работы, заставив функцию вернуть непустой массив — это сработало, и взломщик (к счастью, этичный) оказался в системе, которая теперь считала, что он уже прошёл авторизацию, и выдала ему токен API, с которым он получил доступ к данным сотрудников компании. Удалив установленный по умолчанию прямо в URL-адресе фильтр, эксперт добрался до информации обо всех работниках Intel, а не только индийского филиала, и скачал «файл JSON размером почти 1 Гбайт» с их персональными данными, включая имя, должность, непосредственного руководителя сотрудника, номер телефона и почтовый адрес.

Грубые ошибки он выявил и на других сайтах Intel. На внутреннем ресурсе Product Hierarchy обнаружились легко расшифровываемые учётные данные, внесённые прямо в программный код (хардкод), — эксплуатация этой уязвимости снова позволила ему получить огромный список персональных данных сотрудников компании и администраторский доступ к системе. Учётные данные на внутреннем ресурсе Product Onboarding также были внесены прямо в код. Взломать удалось и сайт для поставщиков SEIMS Supplier Site — эксперт обошёл механизм авторизации и снова скачал данные всех сотрудников Intel.

Будучи этичным хакером, Eaton Z в октябре 2024 года написал Intel и сообщил о своих открытиях. Ни одна из уязвимостей не попала под действующую в компании программу по выплате вознаграждений, а сама Intel не удостоила его полноценным ответом, ограничившись автоматической шаблонной отпиской. Тем не менее, по состоянию на 28 февраля этого года все уязвимости были устранены, и теперь, спустя без малого полгода, он предал инцидент широкой огласке.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Глава OpenAI Сэм Альтман в очередной раз упрекнул Илона Маска в предвзятом отношении к своим успехам 3 ч.
Новая статья: Crushed in Time — растягивание удовольствия. Рецензия 10 ч.
У ИИ-модели OpenAI GPT-5.6 Sol нашли такие же уязвимости, как у Fable 5 16 ч.
После реорганизации из OpenAI ушёл глава отдела систем безопасности 18 ч.
Исследование: четверть постов в соцсетях длиной более 250 слов полностью сгенерированы ИИ 19 ч.
Microsoft пришлось объяснять, что уволенных из Xbox сотрудников не заменят гастарбайтерами 19 ч.
ИИ-подразделение Ant Group выпустило ИИ-модель для генерации интерактивных миров в реальном времени 19 ч.
Google опубликовала Magic Pointer — неанонсированное ИИ-приложение для будущих Googlebook 20 ч.
Meta приостановила генерацию изображений на основе публикаций в Instagram 21 ч.
Аудитория Steam в полтора раза превысила охват PlayStation — Sony сама во всём виновата 24 ч.