Хакер загрузил данные всех 270 тыс. сотрудников Intel благодаря простой уязвимости входа на сайты

Уязвимость касалась доступа к сайту службы по изготовлению визиток Intel и еще трех внутренних ресурсов компании.

По словам Итона З., исследователя безопасности, специалиста по реверс-инжинирингу и разработчика программ, до конца февраля можно было сравнительно свободно загрузить конфиденциальную информацию о 270 тыс. сотрудников Intel. Данные были доступны благодаря обходу логина на сайте Intel India Operations (IIO), где сотрудники заказывают свои визитки.

Эксперимент очень подробно описан на сайте EatonWorks. Исследователь пишет, что решил попробовать на прочность сайты Intel из-за истории уязвимостей процессоров компании.

Сначала хакер проверил файлы JavaScript, стоящие за формой входа в визитную карточку. Он пишет, что иногда можно «обмануть приложение, заставив его думать, что вошел действительный пользователь, заменив функцию getAllAccounts так, чтобы она возвращала непустой массив». Это сработало, и Итон обошел экран входа в систему.

Уже на такой глубине проникновения сайт позволял исследовать список сотрудников — не только из Индии, но и со всего мира. Токен API, доступный анонимному пользователю, обеспечивал еще более глубокий доступ к данным. Исследователя смутила легкость проникновения и доступный объем информации: «намного больше, чем нужно [для работы] этому простому веб-сайту».

Удаление URL-фильтра из исследуемого API в конечном итоге привело к получению файла JSON размером почти 1 ГБ. Эта загрузка содержала данные о каждом сотруднике Intel (сейчас их меньше). Хакер получил имя каждого, должность, имя руководителя, номер телефона и почтовые адреса.

В рамках исследования его автор также протестировал безопасность нескольких других сайтов Intel и нашел еще три подобных случая. Как отметил Tom’s Hardware, процесс напоминал взлом замков с отслеживанием щелчков.

На внутреннем сайте «Иерархия продуктов» исследование обнаружило легкие для расшифровки закодированные учетные данные. Опять «вознаграждением» стал обширный список данных сотрудников Intel, а также возможность получить административный доступ к системе. Аналогично поддалась и внутренняя система «Адаптация продуктов» Intel. Корпоративный вход на сайт поставщика Intel SEIMS тоже было легко обойти. Он дал четвертый способ, с помощью которого злоумышленник мог бы загрузить данные каждого сотрудника.

Итон связался с Intel и описал обнаруженные недостатки сайтов. К сожалению, ни одна из попыток почему-то не соответствовала требованиям Intel для выплаты вознаграждения за обнаруженные ошибки. Хуже того, энтузиаст получил получил лишь один автоматический ответ Intel. Он пишет, что все уязвимости были устранены до 28 февраля этого года, поэтому о них можно рассказывать сейчас.