Uma série de falhas críticas de segurança na infraestrutura interna da Web da Intel expôs os detalhes pessoais de mais de 270.000 funcionários e potencialmente forneceu aos invasores acesso a informações confidenciais corporativas e fornecedores.
As descobertas destacam fraquezas graves em vários sites de propriedade da Intel, levantando preocupações mais amplas sobre o manuseio da empresa pela segurança da Web.
De acordo com a pesquisa de segurança descobertas Naquela semana, quatro sistemas Intel internos separados foram exploráveis, oferecendo vários caminhos para exfiltrar o diretório global de funcionários completos e, em alguns casos, para se transformar em acesso administrativo completo.
- Site de pedidos de cartão de visita:Um portal corporativo mantido pelas operações da Intel India continha um desvio de login que permitia que os invasores evitassem a autenticação do Microsoft Azure. Ao manipular o aplicativo, os pesquisadores conseguiram extrair tokens de API anonimamente e, finalmente, baixar um arquivo JSON de quase 1 GB contendo os detalhes de todos os trabalhadores da Intel em todo o mundo.
- Portal de gerenciamento de hierarquia:Outro site usado para gerenciar grupos de produtos internos enviados com credenciais codificadas e fracamente criptografadas e codificadas em seu código ReactJS. Esses segredos podem ser facilmente descriptografados, permitindo acesso não autorizado aos dados dos trabalhadores e potencialmente concedendo privilégios no nível do administrador.
- Site de integração de produtos:Usado internamente para publicar produtos na plataforma Ark amplamente referenciada da Intel, este portal continha vários tokens expostos, senhas codificadas e até mesmo um Github Acesso token. Os pesquisadores demonstraram que essas vulnerabilidades poderiam permitir que os atacantes se disfarçam de administradores de produtos, possibilitando que eles manipulem o catálogo de produtos da Intel.
- Portal de fornecedores Seims:Anunciado como um sistema seguro para informações sobre saúde e segurança ambiental do fornecedor (EHS), o SEIMS foi exposto de maneira semelhante. Ao ignorar as verificações de login e modificar o código do lado do cliente, os invasores podem enumerar os funcionários da Intel e baixar dados confidenciais do fornecedor, incluindo detalhes relacionados à NDA.
Embora nenhum número financeiro ou números de seguridade social tenha vazado, os campos expostos incluíam nomes, funções, detalhes de contato e estruturas de relatórios. Em agregado, isso representou um risco operacional significativo.
A Intel, que enfrentou um escrutínio global no passado para vulnerabilidades no nível de hardware Likemeltdown, Spectre e vários ataques de canal lateral, pareciam mais lentos para abordar a segurança da Web.
A empresa recompensa de insetos O programa excluiu explicitamente a infraestrutura da Web e as credenciais vazadas de seu escopo de recompensa, tornando as relatórios dessas falhas menos atraentes para os pesquisadores.
Apesar disso, as vulnerabilidades foram divulgadas com responsabilidade no final de 2024, e a Intel corrigiu as falhas até fevereiro de 2025.
Embora o pesquisador não tenha recebido reconhecimento direto além de uma resposta automatizada da caixa de entrada, os problemas foram acabados por resolver.
Em uma jogada positiva, a Intel anunciou recentemente que seu programa de recompensa de bugs se expandiu para cobrir mais serviços on -line – potencialmente incluindo as propriedades da Web Intel.com no futuro.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!