Хакер завантажив дані усіх 270 тис. працівників Intel завдяки простій вразливості входу на сайти

Вразливість стосувалася доступу до сайту служби з виготовлення візитівок Intel та ще трьох внутрішніх ресурсів компанії.

За словами Ітона З., дослідника безпеки, спеціаліста з реверс-інжинірингу та розробника програм, до кінця лютого можна було порівняно вільно завантажити конфіденційну інформацію про 270 тис. співробітників Intel. Дані були доступні завдяки обходу логіна на сайті Intel India Operations (IIO), де співробітники замовляють свої візитівки.

Експеримент дуже докладно описаний на сайті EatonWorks. Дослідник пише, що вирішив спробувати на міцність сайти Intel через історію вразливостей процесорів компанії.

Спочатку хакер перевірив файли JavaScript, що стоять за формою входу візитної картки. Він пише, що Іноді можна «обдурити застосунок, змусивши його думати, що ввійшов дійсний користувач, заміною функції getAllAccounts так, щоб вона повертала непорожній масив»Це спрацювало, і Ітон оминув екран входу.

Вже на такій глибині проникнення сайт дозволяв досліджувати список співробітників — не тільки з Індії, але й з усього світу. Токен API, доступний анонімному користувачеві, забезпечував ще глибший доступ до даних. Дослідника збентежила легкість проникнення та доступний обсяг інформації: «набагато більше, ніж потрібно [для роботи] цьому простому вебсайту».

Видалення URL-фільтра з API, що досліджувався, зрештою призвело до отримання файлу JSON розміром майже 1 ГБ. У цьому завантаженні містилися дані про кожного співробітника Intel (зараз їх менше). Хакер отримав ім’я кожного, посаду, ім’я керівника, номер телефону та поштові адреси.

У межах дослідження його автор також протестував безпеку кількох інших сайтів Intel та знайшов ще три подібних випадки. Як зауважив Tom’s Hardware, процес нагадував злам замків з відстеженням клацання.

На внутрішньому сайті «Ієрархія продуктів» дослідження виявило легкі для розшифрування закодовані облікові дані. Знову “винагородою” став великий список даних співробітників Intel, а також можливість отримати адміністративний доступ до системи. Аналогічно піддалася й внутрішня система «Адаптація продуктів» Intel. Корпоративний вхід на сайт постачальника Intel SEIMS теж було легко обійти. Він дав четвертий спосіб, за допомогою якого зловмисник міг би завантажити дані кожного співробітника Intel.

Ітон зв’язався з Intel та окреслив виявлені недоліки сайтів. На жаль, жодна зі спроб чомусь не відповідала вимогам Intel для виплати винагороди за виявлені помилки. Гірше того, ентузіаст отримав отримала лише одну автоматичну відповідь Intel. Він пише, що усі вразливості були усунені до 28 лютого цього року, тому про них можна розповідати зараз.