Unikli záznamy zamestnancov spoločnosti Intel kvôli chybám v prihlasovaní, čo odhalilo citlivé firemné informácie. Jeden manipulovaný portál odhalil údaje o viac ako 270 000 zamestnancoch Intelu. Pevne zakódované prihlasovacie údaje na interných portáloch vyvolali vážne bezpečnostné obavy.
Citlivé informácie o všetkých zamestnancoch spoločnosti Intel boli údajne dostupné komukoľvek, kto dokázal využiť slabiny v interných stránkach firmy, tvrdí odborník.
Bezpečnostný výskumník Eaton Z zistil, že portál s vizitkami, ktorý používali zamestnanci spoločnosti Intel, obsahoval prihlasovací systém, ktorý sa dal ľahko zmanipulovať. Zmenou spôsobu, akým aplikácia overovala používateľov, sa Eatonovi podarilo získať prístup k údajom bez potreby platných prihlasovacích údajov.
Začalo to ako malý objav a rýchlo sa to rozšírilo, pretože systém odhalil oveľa viac informácií, ako vyžadovala jeho funkcia. Keď sa dosiahol hlbší prístup, výsledky sa nedali ignorovať.
Eaton opísal stiahnutie súboru s veľkosťou takmer jeden gigabajt, ktorý obsahoval osobné údaje 270 000 zamestnancov spoločnosti Intel. Tieto záznamy obsahovali mená, funkcie, manažérov, adresy a telefónne čísla. Rozsah úniku naznačuje riziká presahujúce jednoduché rozpaky.
Uvoľnenie takýchto údajov do nesprávnych rúk by mohlo prispieť ku krádeži identity, phishingovým podvodom alebo útokom sociálneho inžinierstva.
Situácia sa neobmedzovala len na jeden zraniteľný systém, pretože Eaton nahlásil, že k trom ďalším webovým stránkam spoločnosti Intel sa dá pristupovať podobnými technikami.
Interné stránky, ako napríklad portály „Produktová hierarchia“ a „Zaradenie produktu“, obsahovali pevne zakódované prihlasovacie údaje, ktoré sa dali ľahko dešifrovať. Možné bolo aj obídenie ďalšej firemnej prihlasovacej stránky pre stránku dodávateľov spoločnosti Intel.
Tieto slabiny spolu tvorili viaceré prekrývajúce sa dvere do interného prostredia spoločnosti, čo je znepokojujúci obraz pre podnik, ktorý často zdôrazňuje dôležitosť digitálnej dôvery.
So spoločnosťou Intel sa kontaktovali ohľadne týchto problémov už v októbri 2024 a spoločnosť nakoniec opravila chyby koncom februára 2025. Eaton však nedostal kompenzáciu za odmenu za chyby, pretože program spoločnosti Intel tieto prípady vylúčil konkrétnymi podmienkami.
Jediná komunikácia od spoločnosti bola opísaná ako automatická odpoveď, čo vyvoláva otázky o tom, ako vážne sa riešili tieto odhalenia.
Moderná kybernetická bezpečnosť je zložitá; organizácie môžu nasadiť ochrany firewallu a bezpečnostné balíky, no jednoduché prehliadnutia v návrhu aplikácie môžu stále odhaliť kritické systémy.
Aj po aplikovaní záplat incident demonštruje, že zraniteľnosti nie sú vždy exotické chyby ukryté v hardvéri.
