MWC 2018
2018
Computex
IFA 2018
Исследователь в области кибербезопасности, специалист по обратному проектированию и разработчик приложений под псевдонимом Eaton Z обнаружил несколько уязвимостей на принадлежащих Intel сайтах. Одна из них, получившая название Intel Outside, позволила ему скачать информацию о 270 тыс. сотрудников компании. Сама Intel закрыла уязвимости, но другой реакции на инцидент не последовало, и никакого вознаграждения эксперт не получил.
Источник изображения: Rubaitul Azad / unsplash.com
Исследовательский проект эксперт начал с изучения сайта Intel India Operations (IIO), через который сотрудники компании обычно заказывают визитки. Изучая механизмы работы формы входа на сайт, он обнаружил, что валидация производится на стороне не сервера, а клиента при помощи функции getAllAccounts на JavaScript. Специалист изменил схему её работы, заставив функцию вернуть непустой массив — это сработало, и взломщик (к счастью, этичный) оказался в системе, которая теперь считала, что он уже прошёл авторизацию, и выдала ему токен API, с которым он получил доступ к данным сотрудников компании. Удалив установленный по умолчанию прямо в URL-адресе фильтр, эксперт добрался до информации обо всех работниках Intel, а не только индийского филиала, и скачал «файл JSON размером почти 1 Гбайт» с их персональными данными, включая имя, должность, непосредственного руководителя сотрудника, номер телефона и почтовый адрес.
Грубые ошибки он выявил и на других сайтах Intel. На внутреннем ресурсе Product Hierarchy обнаружились легко расшифровываемые учётные данные, внесённые прямо в программный код (хардкод), — эксплуатация этой уязвимости снова позволила ему получить огромный список персональных данных сотрудников компании и администраторский доступ к системе. Учётные данные на внутреннем ресурсе Product Onboarding также были внесены прямо в код. Взломать удалось и сайт для поставщиков SEIMS Supplier Site — эксперт обошёл механизм авторизации и снова скачал данные всех сотрудников Intel.
Будучи этичным хакером, Eaton Z в октябре 2024 года написал Intel и сообщил о своих открытиях. Ни одна из уязвимостей не попала под действующую в компании программу по выплате вознаграждений, а сама Intel не удостоила его полноценным ответом, ограничившись автоматической шаблонной отпиской. Тем не менее, по состоянию на 28 февраля этого года все уязвимости были устранены, и теперь, спустя без малого полгода, он предал инцидент широкой огласке.
Источник:
