19 августа 2025 года стало известно о серьёзных проблемах в веб-инфраструктуре Intel. Исследователи выявили уязвимости в четырёх внутренних онлайн-сервисах компании, которые позволяли обходить систему аутентификации и получать доступ к конфиденциальной информации.
Под угрозой оказались персональные данные более 270 тысяч сотрудников по всему миру, а также сведения о поставщиках компании.
Одной из уязвимых площадок стал сайт индийского офиса Intel, предназначенный для заказа визиток. Там удалось обойти авторизацию Microsoft Azure и анонимно загрузить около одного гигабайта данных с деталями о сотрудниках.
На другом внутреннем портале — для управления корпоративными группами — в коде были обнаружены слабо зашифрованные пароли, что потенциально открывало доступ к административным функциям.
Серьёзные проблемы выявлены и на сайте публикации продуктов в справочник Intel ARK — в нём были жёстко прописаны пароли и токен для доступа к GitHub. Это могло позволить злоумышленникам менять описание продуктов от имени администраторов.
Портал SEIMS для поставщиков также оказался уязвим — при обходе проверки входа можно было получить доступ к информации о сотрудниках и конфиденциальным документам партнёров. Хотя финансовые данные и номера соцстрахов не утекли, в открытом доступе оказались имена, должности, контактные данные и иерархия подчинённости, что создаёт значительный операционный риск.
Интересно, что до недавнего времени подобные уязвимости не подпадали под программу поощрений Intel (bug bounty), из-за чего исследователи не имели мотивации для их раскрытия. Тем не менее, они ответственно сообщили об уязвимостях ещё в конце 2024 года. К февралю 2025 года Intel устранила все найденные проблемы.
Сейчас компания заявила о расширении своей bug bounty-программы и намерена включить в неё больше онлайн-сервисов, включая сайты на домене intel.com.
Под угрозой оказались персональные данные более 270 тысяч сотрудников по всему миру, а также сведения о поставщиках компании.
Одной из уязвимых площадок стал сайт индийского офиса Intel, предназначенный для заказа визиток. Там удалось обойти авторизацию Microsoft Azure и анонимно загрузить около одного гигабайта данных с деталями о сотрудниках.
На другом внутреннем портале — для управления корпоративными группами — в коде были обнаружены слабо зашифрованные пароли, что потенциально открывало доступ к административным функциям.
Серьёзные проблемы выявлены и на сайте публикации продуктов в справочник Intel ARK — в нём были жёстко прописаны пароли и токен для доступа к GitHub. Это могло позволить злоумышленникам менять описание продуктов от имени администраторов.
Портал SEIMS для поставщиков также оказался уязвим — при обходе проверки входа можно было получить доступ к информации о сотрудниках и конфиденциальным документам партнёров. Хотя финансовые данные и номера соцстрахов не утекли, в открытом доступе оказались имена, должности, контактные данные и иерархия подчинённости, что создаёт значительный операционный риск.
Интересно, что до недавнего времени подобные уязвимости не подпадали под программу поощрений Intel (bug bounty), из-за чего исследователи не имели мотивации для их раскрытия. Тем не менее, они ответственно сообщили об уязвимостях ещё в конце 2024 года. К февралю 2025 года Intel устранила все найденные проблемы.
Сейчас компания заявила о расширении своей bug bounty-программы и намерена включить в неё больше онлайн-сервисов, включая сайты на домене intel.com.
