Витік з сайту Intel містив особисті дані понад 270 тис. осіб

20 августа 2025 г., 14:35

Безопасность

У серпні 2025 року дослідник у галузі безпеки Ітон Звеар (Eaton Zveare) опублікував звіт, в якому детально описав серйозну прогалину в кібербезпеці Intel, в результаті якої були розкриті конфіденційні дані з декількох внутрішніх систем. Це порушення не було результатом складного злому — воно стало можливим через базові упущення в безпеці та слабкі механізми аутентифікації на декількох вебпорталах Intel.

Спочатку дослідник натрапив на портал візитних карток Intel в Індії, який дозволяв отримати неавторизований доступ до його API. Просто запросивши кінцеву точку, він отримав величезний файл JSON обсягом 1 ГБ, що містив особисті дані понад 270 тис. осіб, що значно перевищувало фактичну кількість співробітників Intel. Цей набір даних включав імена, посади, адреси електронної пошти та адреси офісів.

Потім Звеаре дослідив інші системи Intel і виявив аналогічні вразливості. Наприклад, адміністративні облікові дані були жорстко запрограмовані та легко розшифровувалися, надаючи повний доступ. А сайт з впровадження продуктів містив токени та облікові дані GitHub у вигляді звичайного тексту, розкриваючи внутрішні репозиторії. Крім того, портал постачальників SEIMS надавав доступ до конфіденційних документів постачальників, включаючи угоди про нерозголошення та звіти про продукти.

На думку дослідника, виявлені ним порушення були викликані такими факторами, як жорстко запрограмовані облікові дані в коді на стороні клієнта; відсутність належних перевірок аутентифікації; передбачуваними URL-адресами та кінцевими точками; а також неефективними механізмами контролю доступу.

Ці недоліки вважаються елементарними помилками у веббезпеці, особливо для компанії масштабу Intel.

Ітон Звеар відповідально розкрив вразливості Intel в жовтні 2024 року. Хоча Intel в кінцевому підсумку виправила проблеми, комунікація була описана як непрозора і нечуйна. Intel відмовилася запропонувати винагороду за виявлення вразливості, пославшись на те, що внутрішні системи на той час не входили у сферу дії їхньої програми.

Попри відсутність фінансової винагороди, висновки дослідника спонукали Intel розширити сферу дії програми винагороди за виявлення вразливостей, включивши в неї внутрішні системи, хоча для нього це було вже занадто пізно.

Фінансові дані та номери соціального страхування не були розкриті, але порушення становило серйозну загрозу внаслідок можливості фішингових атак та атак з використанням соціальної інженерії. Було зафіксовано розкриття інформації про взаємовідносини з постачальниками та внутрішні робочі процеси. При цьому, звичайно ж, було завдано шкоди репутації через низький рівень безпеки.

Цей інцидент показує, що навіть технологічні гіганти можуть нехтувати основними заходами безпеки, а незалежні дослідники відіграють важливу роль у захисті цифрової інфраструктури.