Intel лишилась почти гигабайта данных сотрудников из-за дыр в собственных сервисах

Утечка данных едва не обернулась серьёзным ударом по репутации Intel. Эксперт по кибербезопасности, известный под псевдонимом Eaton Z, извлёк из внутренних систем компании около 1 ГБ конфиденциальной информации о сотрудниках. В полученном архиве содержались данные примерно 270 тысяч человек, включая имена, должности, контактные телефоны и рабочие адреса.

Причиной инцидента стала уязвимость на корпоративном сайте Intel India Operations, предназначенном для заказа визиток. Исследователь, изучая код JavaScript, обнаружил дефектную функцию, манипулируя которой получил доступ к скрытому API. Отключение одного фильтра позволило ему загрузить всю базу данных в формате JSON.

Проблемы на этом не закончились. Eaton Z обнаружил ещё три небезопасных веб-ресурса Intel. Один из них хранил пароли в открытом виде прямо в коде, другой позволял создавать новые аккаунты без надлежащей защиты, а третий был уязвим к обходу авторизации. Все эти порталы раскрывали персональную информацию сотрудников и предоставляли чрезмерные привилегии в системе.

Несмотря на значимость обнаруженных уязвимостей, Intel отказалась вознаградить исследователя. Компания получала его уведомления с октября 2024 года, но ни одна из уязвимостей не была включена в официальную программу bug bounty. Ответы сводились к стандартным отпискам. Лишь к концу февраля 2025 года производителю удалось устранить все найденные бреши в безопасности.