最近處理器大廠英特爾(Intel)不斷出現在新聞版面,從8月上旬美國總統川普(Donald Trump)呼籲執行長陳立武辭職,到8月中旬傳出美國政府有意入股、日本軟體銀行集團(SoftBank Group)宣布買下該公司價值20億美元股票,而有可能對台積電等大廠造成威脅。如今又有新的爭議浮上檯面,最近有資安人員公布他對英特爾的網站漏洞調查結果,指出該公司內部網站存在弱點,有可能導致全部員工的資料曝光,再度引起外界關注。
本週資安研究員Eaton Zveare指出,他從去年10月至12月,在處理器大廠英特爾旗下的內部網站找到一系列資安漏洞,使得外部攻擊者有機會將該公司27萬員工的敏感資訊外流,今年2月底Eaton Zveare確認英特爾已完成修補,因此他決定公布相關細節,並指出Intel漏洞懸賞專案的範圍只有針對Intel.com網域,並不包含其他該公司持有的網站,且導致帳密資料曝露、外洩的弱點,亦未在專案的懸賞範圍,因此他並未得到獎勵,而是只有收到自動回覆的感謝郵件。
對此,我們也向英特爾進行確認,該公司表示,針對2024年10月外部安全研究人員通報,英特爾多個入口網站出現漏洞一事,他們已在收到通知後立即採取修正措施,並在當時迅速完成全面修復。英特爾始終堅定承諾,持續評估並加強安全措施,以保護英特爾的系統,以及客戶與員工的資訊安全。
Eaton Zveare揭露的弱點當中,最嚴重的出現在英特爾印度分公司Intel India Operations經營的名片訂購網站,此網站架設於Azure,以網頁應用程式框架Angular打造而成,攻擊者可藉由竄改特定的JavaScript檔案,在未經身分驗證的情況下存取此應用系統。值得留意的是,該網站雖然是供印度員工使用,但能存取全公司的員工資料,包含姓名、角色、電話號碼、電子郵件信箱,未有社會安全碼(SSN)等敏感資料。Eaton Zveare透過特定的API,從該網站下載約1 GB的JSON檔案。
另一個弱點出現在該公司的Product Hierarchy網站,攻擊者可輕易解密寫死的(hardcoded)帳密,從而下載所有員工資料。Eaton Zveare指出,還有其他的寫死帳密,可被用於以管理員身分存取系統。
第三個弱點出現於Product Onboarding網站,同樣能被攻擊者可輕易解密寫死的帳密,從而下載所有員工資料。
最後一個弱點能被繞過SEIMS Supplier Site的合作廠商登入介面,使得攻擊者能下載每個英特爾員工的詳細資料。此外,若是進一步竄改用戶端,就有可能取得完整的系統存取權限,存取英特爾供應商的機密資訊。
熱門新聞
2025-12-12
2025-12-16
2025-12-15
2025-12-15
2025-12-15
2025-12-15
2025-12-16
2025-12-15