Сегодня 03 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Исследователь нашёл уязвимости в четырёх сайтах Intel, но не получил за это ни гроша

Исследователь в области кибербезопасности, специалист по обратному проектированию и разработчик приложений под псевдонимом Eaton Z обнаружил несколько уязвимостей на принадлежащих Intel сайтах. Одна из них, получившая название Intel Outside, позволила ему скачать информацию о 270 тыс. сотрудников компании. Сама Intel закрыла уязвимости, но другой реакции на инцидент не последовало, и никакого вознаграждения эксперт не получил.

 Источник изображения: Rubaitul Azad / unsplash.com

Источник изображения: Rubaitul Azad / unsplash.com

Исследовательский проект эксперт начал с изучения сайта Intel India Operations (IIO), через который сотрудники компании обычно заказывают визитки. Изучая механизмы работы формы входа на сайт, он обнаружил, что валидация производится на стороне не сервера, а клиента при помощи функции getAllAccounts на JavaScript. Специалист изменил схему её работы, заставив функцию вернуть непустой массив — это сработало, и взломщик (к счастью, этичный) оказался в системе, которая теперь считала, что он уже прошёл авторизацию, и выдала ему токен API, с которым он получил доступ к данным сотрудников компании. Удалив установленный по умолчанию прямо в URL-адресе фильтр, эксперт добрался до информации обо всех работниках Intel, а не только индийского филиала, и скачал «файл JSON размером почти 1 Гбайт» с их персональными данными, включая имя, должность, непосредственного руководителя сотрудника, номер телефона и почтовый адрес.

Грубые ошибки он выявил и на других сайтах Intel. На внутреннем ресурсе Product Hierarchy обнаружились легко расшифровываемые учётные данные, внесённые прямо в программный код (хардкод), — эксплуатация этой уязвимости снова позволила ему получить огромный список персональных данных сотрудников компании и администраторский доступ к системе. Учётные данные на внутреннем ресурсе Product Onboarding также были внесены прямо в код. Взломать удалось и сайт для поставщиков SEIMS Supplier Site — эксперт обошёл механизм авторизации и снова скачал данные всех сотрудников Intel.

Будучи этичным хакером, Eaton Z в октябре 2024 года написал Intel и сообщил о своих открытиях. Ни одна из уязвимостей не попала под действующую в компании программу по выплате вознаграждений, а сама Intel не удостоила его полноценным ответом, ограничившись автоматической шаблонной отпиской. Тем не менее, по состоянию на 28 февраля этого года все уязвимости были устранены, и теперь, спустя без малого полгода, он предал инцидент широкой огласке.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Microsoft разрабатывала ИИ ОС, отличную от Windows — с глубокой интеграцией Copilot и агентов 2 ч.
«Самое янское дополнение в истории»: геймплейный трейлер сюжетного аддона The Alters: Last Variable порадовал фанатов 3 ч.
Epic Games Store устроил раздачу классической игры I Have No Mouth, and I Must Scream о последних людях на Земле, которых пытает безумный суперкомпьютер 5 ч.
Авторитетный инсайдер опроверг закрытие Obsidian Entertainment и работу студии над новой Fallout 6 ч.
Правительство США снова взломали: хакеры проникли в федеральную платформу для обмена разведданными 6 ч.
«Не можешь — научим, не хочешь — заставим»: Microsoft мобилизует 6000 сотрудников для помощи клиентам во внедрении ИИ 6 ч.
Браузер Opera получил продвинутую защиту от ввода вредоносных команд через буфер обмена 6 ч.
ИИ оказался слишком дорогим: компании урезают сотрудникам доступ к ChatGPT и Claude 6 ч.
Студия создателя Deus Ex и System Shock перестанет делать игры — после провала Thick as Thieves в OtherSide осталось меньше десяти человек 7 ч.
Google не смогла отбиться от рекордного штрафа в €4,1 млрд в Европе 7 ч.
Новая статья: Обзор Midea VCR V15 EVO ULTRA: я просто хорошо убираю любое помещение 7 мин.
Новый кроссовер R2 вдохнул жизнь в Rivian: продажи превзошли ожидания, прогноз повышен 2 ч.
Philips анонсировала 27-дюймовые игровые мониторы Evnia M4 с тремя режимами работы: 1440p@275 Гц, 1080p@360 Гц и 720p@540 Гц 3 ч.
Anthropic ведёт переговоры с Samsung о создании собственного ИИ-чипа 5 ч.
У Tesla внезапно подскочили продажи электромобилей во втором квартале 6 ч.
Amazon запустила достаточно спутников для запуска конкурента Starlink 7 ч.
ИИ подрывает экологические цели: выбросы углекислого газа у Amazon подскочили на 16 % в 2025 году 7 ч.
«Яндекс» разрабатывает новые ИИ-устройства — «Пин», «Хронум» и другие загадочные продукты 7 ч.
Инвестиции с кешбэком: NVIDIA вкладывается в создание ИИ-инфраструктуры партнёров в обмен на доход от её эксплуатации 8 ч.
Weave представила бытового робота Isaac 1 — он будет наводить порядок, пока хозяев нету дома 8 ч.