安全研究员、逆向工程师兼应用开发员伊顿·Z(Eaton Z)披露,截至2025年2月底,攻击者仍可下载27万名英特尔员工的敏感信息。只需在英特尔印度运营部(IIO)商务名片订购网站上实施简单的“有效用户”权限绕过手段即可获取全部数据——该研究员将相关漏洞命名为“英特尔向外敞开门户”(Intel Outside),并于2024年10月起就通过信函向英特尔提交详细报告。值得注意的是,该名片订购网站只是其发现的四个存在严重安全漏洞的站点之一。
从其长篇博客的引言可以看出,鉴于英特尔历来存在的处理器硬件漏洞问题,伊顿认为测试该公司网站安全性具有重要价值。最终的核心发现证明其初步预判完全正确。
黑客攻击原理: “登录页面背景越花哨,防护效能越低下”
伊顿解释说,在初步侦察后,他们决定检查名片订购登录表单背后的JavaScript文件。通过修改getAllAccounts函数使其返回非空数组,可能“诱使应用程序误判有效用户已登录”。该手法成功绕过了登录验证。
更严重的是,该网站此时允许探测全球范围(而不仅是印度)的员工名单。匿名用户(如伊顿)可获取的API令牌进一步开放了员工数据的深度访问权限。
随后可提取的员工信息量令伊顿震惊:“远超这个简易网站的实际需求,英特尔的API慷慨得令人咋舌!”移除API的URL过滤器后,最终获取了“近1GB的JSON文件”,其中包含每位英特尔员工(当前数量已减少)的详细信息,包括姓名、职务、直属经理、电话号码及邮寄地址等字段。
另有三处英特尔网站被轻松攻破
伊顿还对其他英特尔网站进行了安全测试。令人惊讶的是,另外三处也存在同类漏洞:
内部“产品层级”网站存在可轻松解密硬编码凭证,不仅能获取员工数据清单,还可获取系统管理员权限
内部“产品入门”网站存在相同类型的硬编码凭证漏洞
SEIMS供应商站点的企业登录验证可被绕过,为攻击者提供了第四种下载全体员工详情的途径
伊顿自2024年10月起就向英特尔通报这些内部网站漏洞,但因其漏洞赏金计划的细则限制,所有发现均未获得奖励。更糟的是,整个沟通过程中英特尔仅发出过一封自动回复邮件。
伊顿注意到所有已报告的漏洞均在今年2月28日前得到修复,因此选择在8月18日发布完整博客文章的行为显得合情合理。
