Rīga: +5.2°С
Šokējoša Atklāsme: Intel Datu Drošības Caurumi Pakļauj 270 Tūkstošus Darbinieku Riskam
Šokējoša atklāsme satricinājusi tehnoloģiju gigantu Intel. Kritiska ievainojamība, ko atklājis drošības pētnieks, reversās inženierijas speciālists un programmatūras izstrādātājs Ītons Z., ļāva salīdzinoši brīvi lejupielādēt konfidenciālu informāciju par aptuveni 270 tūkstošiem Intel darbinieku. Šie satraucošie dati bija pieejami līdz pat februāra beigām. Ievainojamība skāra ne tikai Intel vizītkaršu izgatavošanas vietni, bet arī trīs citus uzņēmuma iekšējos resursus.
Savā paziņojumā platformā X (agrāk Twitter) Ītons Z. atklāja: «Esmu priecīgs dalīties ar savu jaunāko pētniecisko projektu, ko nosaucu par «Intel Outside». Pagājušajā rudenī es atklāju daudzas kritiskas ievainojamības Intel tīkla infrastruktūrā, kas man ļāva iegūt konfidenciālu informāciju par 270 tūkstošiem Intel darbinieku/darbspēka un daudz ko citu.» Viņa eksperiments, kas atklāja šo iespaidīgo drošības caurumu, detalizēti aprakstīts vietnē EatonWorks.
Dziļāk Ievainojamības Detaļās: Kā Viegli Tika Apieta Aizsardzība
Pētnieks atklāja, ka viņu piesaistīja Intel vietnes to procesoru ievainojamību dēļ. Viņš sāka ar vizītkaršu pasūtīšanas vietnes Intel India Operations (IIO) pieteikšanās formas JavaScript failu pārbaudi, kur atklāja ģeniālu, bet satraucoši vienkāršu veidu, kā apiet sistēmu. Ītons Z. skaidroja, ka dažkārt var «apmuļķot lietotni, liekot tai domāt, ka ir pieteicies derīgs lietotājs, aizstājot funkciju getAllAccounts tā, lai tā atgrieztu ne-tukšu masīvu». Un tas strādāja! Viņš veiksmīgi apieta pieteikšanās ekrānu un nonāca sistēmā.
Jau šādā piekļuves dziļumā vietne atļāva piekļūt darbinieku sarakstam, aptverot ne tikai Intel darbiniekus Indijā, bet visā pasaulē. Vēl lielāku drošības caurumu atklāja API atslēga, kas bija pieejama pat anonīmam lietotājam, nodrošinot vēl dziļāku piekļuvi konfidenciāliem datiem. Pētnieku pārsteidza šī iekļūšanas vieglums un pieejamās informācijas apjoms, kas, viņaprāt, bija «daudz vairāk, nekā nepieciešams šai vienkāršajai vietnei, lai darbotos». Likvidējot URL filtru no pētītā API, galu galā tika iegūts gandrīz 1 GB liels JSON fails. Šī milzīgā datu lejupielāde saturēja informāciju par katru Intel darbinieku (šobrīd to ir mazāk). Hakeris ieguva katra darbinieka vārdu, amatu, vadītāja vārdu, tālruņa numuru un e-pasta adreses – īsts zelta raktuves ļaunprātīgiem nodomiem.
Citu Intel Sistēmu Vājās Vietas un Analoģijas ar Atslēgu Uzlaušanu
Pētniecības ietvaros Ītons Z. testēja arī citu Intel vietņu drošību un atklāja vēl trīs līdzīgus gadījumus, kas radīja satraucošu ieskatu uzņēmuma digitālajā aizsardzībā. Kā precīzi atzīmēja Tom’s Hardware, šis process bija salīdzināms ar atslēgu uzlaušanu, sekojot klikšķiem – pakāpeniska, bet apņēmīga piekļuve. Iekšējā vietnē «Produktu hierarhija» pētījumā tika atrastas viegli atšifrējamas kodētas piekļuves paroles. Atkal «atlīdzība» bija plašs Intel darbinieku datu saraksts un, vēl bīstamāk, iespēja iegūt administratīvu piekļuvi sistēmai.
Līdzīgi viegli pārvarama izrādījās arī Intel iekšējā sistēma «Produktu adaptācija». Arī uzņēmuma piegādātāja vietnes Intel SEIMS korporatīvo pieteikšanos bija viegli apiet. Tādējādi tika atklāts ceturtais veids, kādā ļaundaris varētu lejupielādēt katra darbinieka datus, kas liecina par sistēmiskiem drošības trūkumiem.
Intel Reakcija un Nepieciešamās Mācības
Pēc šiem satraucošajiem atklājumiem Ītons Z. nekavējoties sazinājās ar Intel, detalizēti aprakstot atklātās vietņu nepilnības. Diemžēl, kaut arī viņa atklājumi bija acīmredzami kritiski, neviens no tiem dīvainā kārtā neatbilda Intel prasībām atlīdzības izmaksai par atrastajām kļūdām. Vēl jo vairāk, entuziastiskais pētnieks saņēma tikai vienu automātisku atbildi no tehnoloģiju giganta, kas rada vilšanās sajūtu par uzņēmuma reakciju uz tik nopietniem drošības apdraudējumiem. Ītons Z. apstiprina, ka visas atklātās ievainojamības tika novērstas līdz šī gada 28. februārim, tāpēc tagad par tām var publiski runāt, cerot, ka šis gadījums kalpos kā brīdinājums un pamudinājums citām korporācijām nopietnāk uztvert digitālo drošību.
Sekojiet mums līdzi: