Исследователь кибербезопасности с ником Eaton Z смог скачать почти 1 ГБ данных 270 тыс. сотрудников Intel с корпоративного сайта Intel India Operations, на котором персонал производителя чипов заказывает визитные карточки. Специалисту удалось обойти защиту через анализ кода JavaScript на странице входа сайта и изменить функцию getAllAccount. Сайт с визитками был одним из четырёх, на которых исследователь обнаружил серьёзные уязвимости безопасности.
API-токен обеспечил ещё более глубокий доступ к данным сотрудников Intel. Удаление URL-фильтра из этого API привело к получению JSON-файла размером почти 1 ГБ. Eaton Z отметил, что внутри содержалась информация о каждом сотруднике компании. Речь идёт об именах, должностях, руководителях, номерах телефонов и почтовых адресах.
Исследователь также нашёл уязвимости на трёх других сайтах Intel. Внутренний ресурс Product Hierarchy имел легко расшифровываемые учётные данные, внесённые в программный код. Уязвимость позволила получить крупный объём персональных данных сотрудников и доступ с правами админа к системе. Учётные записи ресурса Product Onboarding оказались внесены в код. Также Eaton Z взломал ресурс SEIMS Supplier Site путём обхода механизма авторизации и скачал данные персонала.
Eaton Z общался с Intel, описывая обнаруженные уязвимости сайтов с октября прошлого года. Однако ни одна из работ эксперта не попала под программу Intel bug bounty, поэтому исследователь не получил вознаграждение. За всё время Intel направила Eaton Z лишь один шаблонный автоответ.
Полупроводниковая компания устранила все вышеописанные уязвимости к 28 февраля 2025 года.
Источник: habr.com