Исследователь по кибербезопасности сумел скачать почти гигабайт данных о 270 тысячах сотрудников компании с внутренних сайтов, обойдя элементарные уязвимости. Инцидент вызвал вопросы к уровню защиты одного из крупнейших мировых чипмейкеров.
Исследователь по кибербезопасности сумел скачать почти гигабайт данных о 270 тысячах сотрудников компании с внутренних сайтов, обойдя элементарные уязвимости. Инцидент вызвал вопросы к уровню защиты одного из крупнейших мировых чипмейкеров.
Исследователь и разработчик под ником Eaton Z сообщил, что ему удалось получить доступ к данным всех 270 000 сотрудников компании. Утечка, получившая название Intel Outside, затронула информацию с корпоративного сайта Intel India Operations (IIO), где сотрудники обычно заказывают визитки.
По словам исследователя, обойти защиту оказалось удивительно просто. Проанализировав JavaScript-код на странице входа, он изменил функцию getAllAccounts, заставив приложение «поверить», что пользователь авторизован. В результате Eaton Z получил доступ к данным сотрудников по всему миру.
Дальнейший доступ оказался еще более простым: открытый API-токен позволил скачать почти гигабайтный JSON-файл, содержащий имена, должности, контакты, почтовые адреса и другие данные рсотрудников Intel. Eaton Z отметил, что объем информации «значительно превышал» то, что требовалось для простого сервиса визиток.
Проблемы не ограничились одним сайтом. Исследователь выявил ещё три уязвимых ресурса Intel: внутренний портал Product Hierarchy, где хранились легко расшифровываемые пароли; система Product Onboarding, у которой есть аналогичная проблема защиты — учетные данные были внесены прямо в код; на сайте для поставщиков SEIMS Supplier механизм авторизации также можно было легко обойти.
Исследователь сообщил о находках Intel еще в октябре 2024 года, однако, по его словам, получил лишь одно формальное автоматическое письмо в ответ. Более того, его работа не попала под условия программы вознаграждений за найденные баги, и компания не выплатила исследователю компенсацию. Лишь к концу февраля этого года уязвимости были закрыты.
Сам Eaton Z опубликовал подробный отчет и блог 18 августа — уже после того, как все уязвимости были устранены. Тем не менее история вызвала широкий резонанс: исследователи отмечают, что столь масштабный доступ к внутренним данным сотрудников мог привести к катастрофическим последствиям, если бы им воспользовались злоумышленники.
На фоне финансовых трудностей, включая рекордный убыток в $18,8 миллиарда в 2024 году, Intel получила неожиданную поддержку: SoftBank вложит $2 миллиарда и станет одним из крупнейших акционеров компании в рамках стратегического партнерства. Параллельно правительство США рассматривает опцию преобразования грантов по закону CHIPS Act в долю — до 10 % акций Intel, что сделает правительство крупнейшим акционером компании без права голоса.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.
похоже виброкодеры писали :)
Пользователь отредактировал комментарий 20 августа 2025, 16:18