Istraživač je otkrio ranjive interne servise koji su izložili informacije 270.000 zaposlenih u Intelu.
Bezbjednosni istraživač Iton Zviar otkrio je ranjivosti u posljednjem kvartalu 2024. godine, a Intel ih je u međuvremenu zakrpio.
Zviar je prvo pronašao ranjivost koja mu je omogućila da zaobiđe autentifikaciju na internom Intel India sajtu, osmišljenom kako bi zaposleni mogli da naruče vizit karte.
„Svrha sajta je bila da zaposleni u Intel India pronađe svoje ime na listi i formira vizit kartu na osnovu tih podataka“, objasnio je istraživač.
Iako je sajt bio vezan za operacije u Indiji, Zviar je otkrio da se u bazi nalaze podaci zaposlenih Intela širom svijeta. Daljom analizom ustanovio je da bi haker mogao da preuzme podatke svih zaposlenih u kompaniji.
Otkriveni podaci uključivali su ime, adresu e-pošte, broj telefona i radnu poziciju. Osjetljiviji podaci poput brojeva socijalnog osiguranja i plata nisu bili obuhvaćeni, naveo je istraživač.
Kasnije je Zviar otkrio još dva interna sajta koja su otkrivala podatke svih zaposlenih zbog hardkodovanih kredencijala koji su omogućavali administratorski pristup. Ti sajtovi su služili za dodavanje proizvoda u aplikaciju i organizaciju grupa proizvoda.
Četvrti interni Intel sajt, namijenjen za upravljanje podacima dobavljača, takođe je imao propust u autentifikaciji, koji je mogao da se iskoristi za pristup ne samo podacima svih zaposlenih, već i „velikim količinama povjerljivih informacija o dobavljačima Intela“.
Prema riječima istraživača, ovi sajtovi su izlagali podatke ukupno 270.000 zaposlenih i radnika Intela.
„U oktobru 2024. eksterni istraživač je prijavio ranjivost koja je pogađala nekoliko portala. Nakon obavještenja, odmah su preduzete korektivne mjere i puna sanacija je završena u kratkom roku“, saopštio je portparol Intela. „Intel ostaje čvrsto posvećen kontinuiranoj procjeni i jačanju svojih bezbjednosnih praksi radi zaštite sistema i podataka naših korisnika i zaposlenih.“
Kada je Zviar prijavio svoja otkrića, ovakvi interni sajtovi nisu bili obuhvaćeni Intelovim bug bounty programom. Od tada je kompanija proširila program tako da pokriva cloud servise i SaaS platforme, uz nagrade do 5.000 dolara.
Izvor: SecurityWeek
