Этичный хакер и исследователь в области информационной безопасности под псевдонимом Eaton Z успешно загрузил почти 1 ГБ данных о 270 тыс. сотрудниках Intel с корпоративного сайта Intel India Operations, где персонал компании заказывает визитки.
Сообщается, что специалисту удалось обойти защитные механизмы, проанализировав код JavaScript на странице авторизации сайта и изменив функцию getAllAccount. Сайт с визитками оказался одним из четырех, где исследователь выявил серьезные уязвимости безопасности.
API-токен предоставил еще более расширенный доступ к данным сотрудников Intel. Удаление фильтра URL из этого API позволило получить JSON-файл размером почти 1 ГБ. «Белый» хакер отметил, что в нем содержалась информация о каждом работнике компании, включая имена, должности, руководителей, номера телефонов и электронные адреса.
Исследователь также обнаружил уязвимости на трех других сайтах Intel. В результате Eaton Z общался с представителями компании, описывая найденные уязвимости с октября прошлого года. Однако ни одна из его работ не была включена в программу Intel bug bounty, следовательно, исследователь не получил никакого вознаграждения.
Ранее компания Microsoft рассказала о сотрудничестве с молодым специалистом в области ИБ Диланом, который начал помогать компании уже в 13 лет. Специально для него Microsoft изменила условия участия в своей программе Bug Bounty, чтобы молодой исследователь мог участвовать в поиске уязвимостей.
Хакер нашел способ бесплатно питаться в McDonald’s
