«Белый» хакер скачал данные о 270 тыс. работников Intel

Этичный хакер и исследователь ИБ-сферы под ником Eaton Z смог скачать почти 1 ГБ данных 270 тыс. сотрудников Intel с корпоративного сайта Intel India Operations. В нем персонал компании заказывает визитные карточки.

Отмечается, что специалисту удалось обойти защиту через анализ кода JavaScript на странице входа сайта и изменить функцию getAllAccount. Сайт с визитками был одним из четырех, на которых исследователь обнаружил серьезные уязвимости безопасности.

API-токен обеспечил еще более глубокий доступ к данным сотрудников Intel. Удаление URL-фильтра из этого API привело к получению JSON-файла размером почти 1 ГБ. «Белый» хакер заявил, что внутри содержалась информация о каждом сотруднике компании. Речь идет об именах, должностях, руководителях, номерах телефонов и почтовых адресах.

Исследователь также нашел уязвимости на трех других сайтах Intel. По итогу Eaton Z общался с представителями компании, описывая обнаруженные уязвимости сайтов с октября прошлого года. Однако ни одна из работ эксперта не попала под программу Intel bug bounty, поэтому исследователь не получил вознаграждение.

Ранее компания Microsoft рассказала о сотрудничестве с юным ИБ-специалистом Диланом. Он начал помогать корпорации уже в 13 лет. Специально для него Microsoft поменяла условия участия в своей программе Bug Bounty, чтобы молодой специалист мог участвовать в поиске уязвимостей.