به گفته ایتون زی، محقق امنیت، مهندس معکوس و توسعه‌دهنده اپلیکیشن، امکان دانلود اطلاعات حساس حدود ۲۷۰,۰۰۰ کارمند اینتل تا پایان فوریه وجود داشت. تمام این اطلاعات با یک ترفند کوچک “کاربر معتبر” در سایت عملیات اینتل هند (IIO) که کارمندان معمولاً کارت ویزیت خود را سفارش می‌دهند، قابل دسترسی بود. این آسیب‌پذیری که توسط محقق “Intel Outside” نامگذاری شده، از اکتبر ۲۰۲۴ در مکاتبات به اینتل اطلاع داده شده بود. علاوه بر این، سایت کارت ویزیت تنها یکی از چهار سایتی بود که با نقص‌های امنیتی بزرگ کشف شد.

از مقدمه پست وبلاگ طولانی او، اشاره شده است که ایتون با توجه به سابقه شرکت در زمینه آسیب‌پذیری‌های سخت‌افزاری پردازنده، فکر می‌کرد که آزمایش قفل‌های وب‌سایت‌های اینتل ارزش امتحان کردن را دارد. با نتیجه برجسته به دست آمده، غرایز اولیه ایتون دقیق از آب درآمد.

نحوه عملکرد هک: «هرچه پس‌زمینه فانتزی‌تر باشد، صفحه ورود به سیستم ناکارآمدتر خواهد بود»

ایتون توضیح می‌دهد که پس از اولین بررسی محیط، آنها تصمیم گرفتند فایل‌های جاوااسکریپت پشت فرم ورود به سیستم کارت ویزیت را بررسی کنند. ایتون روایت کرد که گاهی اوقات می‌توان “با تغییر تابع getAllAccounts برای بازگرداندن یک آرایه غیرخالی، برنامه را فریب داد تا فکر کند یک کاربر معتبر وارد شده است.” در واقع، این روش کار کرد و ایتون را از صفحه ورود به سیستم عبور داد.

در ادامه، مشاهده شد که وب‌سایت، در این عمق، امکان بررسی لیست طولانی از کارمندان را فراهم می‌کرد، نه فقط محدود به هند، بلکه در سراسر جهان. یک توکن API که برای یک کاربر ناشناس (مانند ایتون) در دسترس بود، دسترسی عمیق‌تری به داده‌های کارمندان فراهم می‌کرد.

متعاقباً، ایتون از حجم اطلاعاتی که می‌توانست درباره هر کارمند به دست آورد، نگران شد. او اظهار داشت: «بسیار بیشتر از آنچه این وب‌سایت ساده نیاز دارد، APIهای اینتل بسیار سخاوتمند هستند!»

اوضاع برای اینتل بدتر شد، نه برای ایتون. حذف فیلتر URL از API مورد بررسی در نهایت منجر به یک “فایل JSON تقریباً ۱ گیگابایتی” شد. در داخل این دانلود، ایتون اشاره کرد که جزئیات هر کارمند اینتل (که اکنون کمتر هستند) وجود داشت. داده‌ها شامل فیلدهایی مانند نام، نقش، مدیر، شماره تلفن و آدرس پستی هر کارمند بود.

سه وب‌سایت دیگر اینتل با بررسی‌های آرام به طور کامل باز شدند

کار ایتون قفل‌ها را آزمایش کرد و به کلیک‌ها گوش داد، در چندین وب‌سایت دیگر اینتل. شاید از شنیدن اینکه سه هک دیگر به سبک Intel Outside امکان‌پذیر بود، تعجب کنید؟

در وب‌سایت داخلی «Product Hierarchy»، ایتون اعتبارنامه‌های سخت‌کد شده‌ای را کشف کرد که به راحتی قابل رمزگشایی بودند. باز هم، جایزه لیستی بزرگ از داده‌های کارمندان اینتل و همچنین امکان دسترسی ادمین به سیستم بود. به طور مشابه، «Product Onboarding» داخلی اینتل نیز از اعتبارنامه‌های سخت‌کد شده‌ای که به راحتی قابل رمزگشایی بودند، رنج می‌برد.

ورود به سیستم شرکتی در سایت تامین‌کننده SEIMS اینتل، یک اقدام امنیتی دیگر بود که می‌توانست دور زده شود. ایتون می‌گوید این روش، چهارمین راه شگفت‌انگیزی را فراهم کرد که از طریق آن یک مهاجم می‌توانست «جزئیات هر کارمند اینتل را دانلود کند».

اکنون همه چیز درست است

ایتون با اینتل ارتباط برقرار کرد و نقص‌های وب‌سایت داخلی کشف شده را از اکتبر ۲۰۲۴ تشریح کرد. متأسفانه، هیچ یک از کارهای ایتون واجد شرایط دریافت پاداش باگ اینتل نبود، زیرا توسط برخی از بندهای کوچک مستثنی شده بود. شاید حتی بدتر از آن، ایتون در طول کل فرآیند تنها یک «پاسخ خودکار» از اینتل دریافت کرد.

ایتون متوجه شد که تمام آسیب‌پذیری‌هایی که او کشف کرده و به اینتل گزارش داده بود، تا ۲۸ فوریه امسال برطرف شده‌اند. بنابراین، انتشار وبلاگ مرتبط در ۱۸ آگوست، کاملاً منطقی به نظر می‌رسد.

Follow on Google News to get our up-to-date news, analysis, and reviews in your feeds. Make sure to click the Follow button.