Утечка персональных данных сотрудников Intel

Утечка персональных данных корпорации Intel произошла из-за уязвимости. В результате утечки персональных данных пострадали 270 тыс. сотрудников.

Исследователь информационной безопасности Итон Звеаре (Eaton Zveare) раскрыл подробности некоторых уязвимостей, которые позволили ему получить доступ к персональным данным сотрудников компании Intel, крупнейшего в мире производителя процессоров.

По словам Звеаре, он обнаружил уязвимости в программном обеспечении, которое используют в Intel, еще в IV квартале 2024 г., и к настоящему времени все дыры в системе безопасности исправлены специалистами компании.

Вначале исследователь нашел уязвимость, которая позволила ему обойти систему аутентификации на одном из сайтов индийского подразделение Intel. Этот сервис использовался для заказа визитных карточек сотрудниками. Хотя он был связан с Intel India, Звеаре обнаружил информацию, которая относилась к сотрудникам корпорации во всем мире. В дальнейшем исследователь убедился, что любой злоумышленник мог загрузить персональные данные о всем персонале американского вендора.

Скомпрометированные данные включали имена, адреса электронной почты, номера телефонов и должности. Другая конфиденциальная информация, такая как номера социального страхования и данные о заработной плате, раскрыта не была, сообщил исследователь.

Затем Итон Звеаре обнаружил два других внутренних веб-сайта Intel, которые раскрывали персональные данные всех сотрудников компании из-за жестко заданных учетных данных, предоставляющих доступ к аккаунту системного администратора. Известно, что уязвимые сайты были предназначены для добавления продуктов в приложение и организации групп по работе над продуктами.

Но это было еще не все. Позже Звеаре наткнулся на четвертый внутренний сайт, который раскрывал данные. Это был портал Intel для управления данными о поставщиках. Как и в первом случае, уязвимость в ПО позволяла обходить систему аутентификации. В результате злоумышленники могли получать не только персональные данные о всех сотрудниках корпорации, но и большой объем конфиденциальной информации о ее поставщиках.

По данным Итона Звеаре, весь комплекс найденных им уязвимостей раскрывал персональные данные порядка 270 тыс. сотрудников Intel.

В ответ на запрос журналистов корпорация Intel сообщила об отсутствии инцидентов ИБ, утечек данных или несанкционированного доступа к данным компании.

«В октябре 2024 года внешний исследователь безопасности сообщил об уязвимости, затрагивающей несколько порталов. После получения уведомления были немедленно приняты корректирующие меры, и полное исправление уязвимости было завершено в кратчайшие сроки», — заявил представитель Intel. 

Он также отметил, что компания Intel по-прежнему твёрдо привержена укреплению мер безопасности для защиты своих систем, а также информации клиентов и сотрудников.

Найденные Звеаре баги во внутренних сайтах не подпадали под действующую на конец 2024 года в Intel программу вознаграждений за поиск уязвимостей (bug bounty). Но с тех пор корпорация расширила эту программу, и теперь исследователи безопасности могут получить до 5000 долларов США за обнаружение уязвимых сервисов в облаке и SaaS-платформ.

Источник: Security Affairs