(https://media.cybernews.com/images/featured-big/2025/08/a-white-hat-hacker-broke-into-four-of-intels-internal-systems.jpg)
Un hacker de sombrero blanco irrumpió en cuatro sistemas internos de Intel y descubrió que los datos confidenciales de 270.000 empleados de Intel estaban expuestos. Después, dedicó meses a ayudar a la empresa a solucionar las filtraciones, solo para recibir una nota de agradecimiento automatizada.
El investigador de seguridad Eaton Zveare descubrió que era posible eludir la autenticación en el sitio web de Intel para solicitar tarjetas de presentación corporativas en India. La API del sistema respondió con muchos más datos de los que esperaba.
"Me proporcionó un archivo JSON de casi 1 GB. Este archivo contenía los datos de todos los empleados de Intel. Con una sola solicitud a la API, extraje una gran cantidad de información detallada", publicó Zveare en LinkedIn.
Investigaciones posteriores también revelaron fallas críticas en otros sistemas.
"No hubo una ni dos, sino *4* vulnerabilidades que me permitieron extraer información confidencial de más de 270.000 empleados/trabajadores de Intel, y logré acceder a varios sitios web internos mediante parches creativos de JavaScript", reveló el investigador de seguridad en un informe.
Para eludir la autenticación en el sitio web de Operaciones de Intel India, el investigador simplemente modificó el código del lado del cliente. El sitio usaba JavaScript para redirigir a los usuarios no autenticados, pero el investigador modificó una función para que devolviera una matriz no vacía y logró eludir el inicio de sesión.
El investigador se sorprendió al ver que el tráfico "en segundo plano" utilizaba una API no autenticada para devolver información sobre cada empleado. Compartió una captura de pantalla con detalles para Patric Gelsinger, exdirector ejecutivo de Intel.
"Los datos incluían campos como el nombre, el cargo, el gerente, el número de teléfono y la dirección del buzón de correo de la persona, pero nada demasiado confidencial como el salario o el número de la seguridad social", explicó.
Otros tres sistemas expuestos
Posteriormente, el investigador descubrió que el sitio web de Gestión Jerárquica de Intel, que ayuda a organizar los grupos de productos y la propiedad dentro de la empresa, contenía una contraseña codificada y fácilmente descifrable que incluso podía utilizarse para obtener acceso de administrador al sistema.
"Este cifrado es completamente inútil", escribe el investigador.
"Todo se realiza del lado del cliente, lo que significa que el cliente tiene la clave, ¡así que es posible descifrar la contraseña!"
La contraseña descifrada causó aún más sorpresa. Solo contenía secuencias de números (123...) y letras (abc...).
(https://media.cybernews.com/2025/08/full.png)
Las credenciales de administrador, codificadas de forma rígida, permitían acceder al sitio con información interesante, que podría incluir productos inéditos.
El tercer servicio interno al que accedió el investigador fue el sitio web de "Incorporación de productos", probablemente utilizado para subir información de productos.
Las credenciales de varias API se publicaron en texto plano, entre los comentarios de los archivos JS. Un token de acceso personal cifrado de GitHub podría haber permitido leer productos falsos en Intel ARK, pero el investigador decidió no probarlo.
Por último, el sitio SEIMS (Sistema de Gestión de IP de EHS de Proveedores) de Intel también vio comprometido su acceso corporativo. De nuevo, se filtraron todos los datos de los empleados de Intel, pero con modificaciones adicionales del lado del cliente, fue posible obtener acceso completo al sistema para ver grandes cantidades de información confidencial sobre los proveedores de Intel.
El investigador pudo acceder a informes de productos y otros documentos, como acuerdos de confidencialidad (NDA).
¡Gracias!
El investigador, responsablemente, reveló todas las vulnerabilidades a Intel y describió la experiencia como un "agujero negro unidireccional".
El 14 de octubre de 2024, Zveare envió el primer informe de vulnerabilidad de la tarjeta de presentación e inmediatamente recibió un correo electrónico automático con "¡Gracias!", explicando que las vulnerabilidades de la infraestructura web no forman parte del Programa de Recompensas por Errores.
"No se enviará ninguna otra respuesta ni certificado más allá de esta notificación", decía la carta.
(https://media.cybernews.com/2025/08/letter.png)
Y fue la única correspondencia oficial que recibió el investigador.
Zveare reveló posteriormente nuevas vulnerabilidades el 29 de octubre y el 12 de noviembre de 2024. Posteriormente, envió múltiples correos electrónicos de seguimiento instando a la rotación de las credenciales filtradas y a la corrección de las vulnerabilidades.
Noventa días después, las fallas se resolvieron. El 28 de febrero de 2025, el investigador informó a Intel sobre su intención de publicar los hallazgos. Sin embargo, esperó hasta el 18 de agosto, cuando el informe se hizo público.
"Las vulnerabilidades de hardware pueden llegar a costar hasta 100 000 dólares, mientras que los errores de sitios web quedan prácticamente relegados a un buzón de correo negro", señala el investigador.
"La buena noticia es que Intel ha ampliado recientemente su cobertura de recompensas por errores para incluir servicios".
Fuente:
CyberNews
https://cybernews.com/security/hacker-uncovers-intel-system-flaws/
De todas formas los programas de bug bouty y su "moderación" son un asco asi que mayormente terminas trabajando gratis hahaha ... al final es más rentable la filtración de datos xD