研究者、Intel従業員データへのオープンアクセスを発見

Mijansk786 – shutterstock.com

セキュリティ研究者のEaton Zveare氏は最近、半導体メーカーIntelの少なくとも4つの内部ウェブシステムが十分に保護されていなかったと報告しました。専門家によると、複数の脆弱性により、世界中の従業員ディレクトリをコピーすることが可能だったとのことです。場合によっては管理者権限でのアクセスも可能だったといいます。

Zveare氏が最初に発見したセキュリティ問題は、Intelのインド従業員が名刺を注文できるプラットフォームに関するものでした。JavaScriptコードに小さな手を加えることで、研究者はアプリケーションに自分がログインしていると誤認させることに成功しました。この方法で、同氏は27万人以上の従業員データにアクセスできました。これらのデータはインドの従業員だけに限られていませんでした。

このセキュリティ専門家はさらに、「Worker-API」と呼ばれるものにも注目しました。これを通じて、名前、役職、電話番号、メールアドレスなどの詳細情報を取得できました。リクエストを少し変更することで、Curlを使いIntel全従業員のデータを一度にダウンロードすることもできました。そのデータはほぼ1ギガバイトのJSONファイルだったといいます。

十分に保護されていないパスワード

さらにZveare氏は、Intelの他の3つのプラットフォームも調査しました。最初のものは「Product Hierarchy」という名称で運用されています。このアプリケーションは、Intelが製品グループや所有権の内部管理を支援するものです。研究者はシステムのクライアントサイドコード内にハードコーディングされた認証情報を発見し、それを使って再びIntelのWorker-APIにアクセスできました。

パスワードは暗号化されていましたが、鍵もクライアントサイドで入手可能だったため、簡単に復号できたと報告書には記されています。その後、研究者はさらにハードコーディングされた認証情報を発見しました。中にはアプリケーションのバックエンドサービス用管理者アカウントのものも含まれていました。

関連記事: ログインを保護する：パスワードを正しく守る方法

Zveare氏は、「Product Onboarding」と呼ばれる別のプラットフォームにも同様の問題があることを確認しました。このツールは、Intelの製品データベース「Ark（Automated Relational Knowledgebase）」へのデータアップロードに使用されています。

「Seims（Supplier EHS IP Management System）」というサプライヤープラットフォームでは、Zveare氏によればハードコーディングされた認証情報はありませんでしたが、やはり認証を回避する方法が存在しました。これにより、研究者は従業員IDを指定することで関連する個人情報を返すAPIにアクセスできました。「Intelの従業員IDは連番なので、全従業員のデータを取得するのは簡単だったでしょう」と同氏は自身の投稿で説明しています。さらに、Intelのサプライヤーに関する機密情報も閲覧可能でした。

Zveare氏は2024年秋にすでにIntelへこれらの脆弱性を報告しています。同社はその後、すべてのセキュリティホールを90日以内に修正しました。