吳明宜英特爾內部四大網站安全漏洞導致超過27萬員工資料外洩,攻擊者可繞過認證並取得敏感企業及供應商資訊。漏洞於2025年2月修補,顯示英特爾網頁安全存在重大隱憂。
晶片大廠英特爾內部網站基礎架構有多項重大安全漏洞,導致超過 27 萬員工個資洩露,而給攻擊者存取敏感企業和供應商資訊的機會。
英特爾多個網站發現漏洞,引發外界擔心英特爾的網頁應用安全能力。
根據本周公佈的安全研究,英特爾有 4 個不同內部系統可能被駭入,成為外洩該公司整個全球員工資料庫的多條路徑,有的還能升級到管理員權限。
這四個網站包括:
- 名片訂購網站:由英特爾印度公司維護的企業入口網站,內有繞過登入要求的漏洞,讓攻擊者繞過微軟 Azure 驗證步驟。這漏洞讓研究人員得以匿名擷取 API 令牌,最終下載含全球英特爾所有員工資料的近 JSON 檔案,近 1GB 大小。
- 階層管理入口網站:另一個用於管理內部產品事業群的網站,它的 ReactJS 程式碼內含弱加密及寫死的憑證。這些憑證可以輕易被解密,讓外人存取員工資料,進而取得管理員權限。
- 產品上架網站:用於發佈產品到英特爾 ARK 平台的入口網站,包含多個外洩令牌、寫死密碼及一個 GitHub 存取令牌的漏洞。研究人員說,這些漏洞可讓攻擊者冒充產品管理員、還可能操弄修改英特爾產品目錄。
- SEIMS 供應商入口網站:這個網站用於儲存供應商環境健康和安全 (EHS) 資訊。其漏洞可讓攻擊者列舉英特爾員工,並下載機密的供應商資料,包括非 NDA 的資料。
雖然研究人員尚未發現外洩財務資料或社會安全號,但外洩資料欄位包含姓名、職稱、聯絡資訊及承報組織結構。這些資料集結起來將帶來一大安全運作風險。
英特爾過去曾因其晶片漏洞如 Meltdown 、 Spectre 和多個旁路攻擊漏洞遭到嚴格檢視,現在似乎連網站安全的螺絲也鬆了。
此外,英特爾的抓漏方案獎勵對象也排除網站基礎架構及外洩憑證,使得安全研究人員較少注意這些漏洞。
不過還好,去年底研究人員通報英特爾,後者則在 2025 年 2 月修補了這些個漏洞。
來源:GBHackers