Багхантер запампаваў дазеныя ўсіх 270 000 супрацоўнікаў Intel — і не атрымаў ні капейкі
Даследчык па кібербяспецы здолеў спампаваць амаль гігабайт дадзеных аб 270 тысячах супрацоўнікаў кампаніі з унутраных сайтаў, абыходзячы элементарныя ўразлівасці. Інцыдэнт выклікаў пытанні да ўзроўню абароны аднаго з найбуйнейшых сусветных чыпмейкераў.
Даследчык і распрацоўшчык пад нікам Eaton Z паведаміў, што яму ўдалося атрымаць доступ да дадзеных усіх 270 000 супрацоўнікаў кампаніі. Уцечка, якая атрымала назву Intel Outside, закранула інфармацыю з карпаратыўнага сайта Intel India Operations (IIO), дзе супрацоўнікі звычайна замаўляюць візіткі.
Паводле слоў даследчыка, абыйсці абарону аказалася на дзіва проста. Прааналізаваўшы JavaScript-код на старонцы ўваходу, ён змяніў функцыю getAllAccounts, прымусіўшы аплікацыю «паверыць», што карыстальнік аўтарызаваны. У выніку Eaton Z атрымаў доступ да дадзеных супрацоўнікаў па ўсім свеце.
Далейшы доступ аказаўся яшчэ больш простым: адкрыты API-токен дазволіў спампаваць амаль гігабайтны JSON-файл, які змяшчае імёны, пасады, кантакты, паштовыя адрасы і іншыя дадзеныя супрацоўнікаў Intel. Eaton Z адзначыў, што аб’ём інфармацыі «значна перавышаў» тое, што патрабавалася для простага сэрвісу візітак.
Праблемы не абмежаваліся адным сайтам. Даследчык выявіў яшчэ тры ўразлівыя рэсурсы Intel: унутраны партал Product Hierarchy, дзе захоўваліся парол, якія лёгка расшыфроўваюццаі; сістэма Product Onboarding, у якой ёсць аналагічная праблема абароны — уліковыя дадзеныя былі ўнесены проста ў код; на сайце для пастаўшчыкоў SEIMS Supplier механізм аўтарызацыі таксама можна было лёгка абыйсці.
Даследчык паведаміў аб знаходках Intel яшчэ ў кастрычніку 2024 года, аднак, па яго словах, атрымаў толькі адзін фармальны аўтаматычны ліст ў адказ. Больш таго, яго праца не трапіла пад умовы праграмы ўзнагароджання за знойдзеныя багі, і кампанія не выплаціла даследчыку кампенсацыю. Толькі да канца лютага гэтага года ўразлівасці былі закрытыя.
Сам Eaton Z апублікаваў падрабязную справаздачу і блог 18 жніўня — ужо пасля таго, як усе ўразлівасці былі ліквідаваныя. Тым не менш гісторыя выклікала шырокі рэзананс: даследчыкі адзначаюць, што настолькі маштабны доступ да ўнутраных дадзеных супрацоўнікаў мог прывесці да катастрафічных наступстваў, калі б ім скарысталіся злоўмыснікі.
На фоне фінансавых цяжкасцяў, уключаючы рэкордны страты ў $18,8 мільярда ў 2024 годзе, Intel атрымала нечаканую падтрымку: SoftBank укладзе $2 мільярды і стане адным з найбуйнейшых акцыянераў кампаніі ў рамках стратэгічнага партнёрства. Паралельна ўрад ЗША разглядае опцыю пераўтварэння грантаў па законе CHIPS Act у долю — да 10% акцый Intel, што зробіць урад найбуйнейшым акцыянерам кампаніі без права голасу.
Читать на dev.by