Pesquisador encontra vulnerabilidades em quatro sites da Intel, mas não recebe pagamento

Um pesquisador de segurança cibernética, engenheiro reverso e desenvolvedor de aplicativos, conhecido pelo pseudônimo Eaton Z, descobriu diversas vulnerabilidades em sites da Intel. Uma delas, chamada Intel Outside, permitiu que ele baixasse informações sobre 270.000 funcionários da empresa. A própria Intel corrigiu as vulnerabilidades, mas não houve nenhuma outra resposta ao incidente, e o especialista não recebeu nenhuma recompensa.

Fonte da imagem: Rubaitul Azad / unsplash.com

O especialista iniciou seu projeto de pesquisa estudando o site Intel India Operations (IIO), por meio do qual os funcionários da empresa costumam solicitar cartões de visita. Ao estudar os mecanismos do formulário de login, ele descobriu que a validação não é realizada no lado do servidor, mas no lado do cliente, usando a função getAllAccounts em JavaScript. O especialista alterou o esquema de operação, forçando a função a retornar um array não vazio. Isso funcionou, e o hacker (felizmente, um hacker ético) se viu no sistema, que agora acreditava que ele já havia passado pela autorização, e emitiu um token de API com o qual obteve acesso aos dados dos funcionários da empresa. Ao remover o filtro instalado por padrão diretamente na URL, o especialista obteve informações sobre todos os funcionários da Intel, não apenas da filial indiana, e baixou “um arquivo JSON de quase 1 GB” com seus dados pessoais, incluindo nome, cargo, supervisor imediato do funcionário, número de telefone e endereço postal.

Ele também encontrou erros graves em outros sites da Intel. No recurso interno Product Hierarchy, foram encontradas credenciais facilmente decifráveis, inseridas diretamente no código do programa (hardcode) – a exploração dessa vulnerabilidade permitiu-lhe, novamente, obter uma enorme lista de dados pessoais dos funcionários da empresa e acesso de administrador ao sistema. As credenciais do recurso interno Product Onboarding também foram inseridas diretamente no código. Também foi possível hackear o site de fornecedores SEIMS Supplier Site – o especialista contornou o mecanismo de autorização e novamente baixou os dados de todos os funcionários da Intel.

Sendo um hacker ético, Eaton Z escreveu à Intel em outubro de 2024 e relatou suas descobertas. Nenhuma das vulnerabilidades se enquadrava no programa de recompensas da empresa, e a própria Intel não o honrou com uma resposta completa, limitando-se a um modelo de resposta automática. No entanto, em 28 de fevereiro deste ano, todas as vulnerabilidades foram corrigidas e agora, quase seis meses depois, ele tornou o incidente amplamente público.