Güvenlik araştırmacıları tarafından ortaya çıkarılan bir güvenlik açığı sayesinde, 270.000'den fazla Intel çalışanına ait hassas bilgiler, şirket içi kartvizit sipariş sitesinden şubat ayının sonuna kadar indirilebiliyordu. Bu kritik sızıntiye, araştırmacının "Intel Outside" adını verdiği bir yöntemle ulaşıldı.
Uygulama geliştirici ve güvenlik araştırmacısı olan bir uzman, Intel'in Hindistan Operasyonları (IIO) sitesindeki kartvizit sipariş bölümünde ciddi bir güvenlik zafiyeti tespit etti. Bu zafiyet sayesinde, sisteme 'geçerli kullanıcı' gibi gösterilen bir yöntemle giriş yapılarak 270.000 Intel çalışanının kişisel bilgilerine erişim mümkün hale geldi. Uzman, bu açığı ilk olarak 2024 yılının ekim ayında Intel ile paylaşmış.
Araştırmacı, firmanın geçmişte yaşadığı işlemci donanımındaki güvenlik açıklarını göz önünde bulundurarak Intel web sitelerinin güvenlik duvarlarını test etmeye karar verdiğini belirtiyor. İlk analizler, bu düşüncenin doğru olduğunu gösterdi.
Nasıl Gerçekleşti?
Uzman, kartvizit sipariş formunun arkasındaki JavaScript dosyalarını inceleyerek bu zafiyeti ortaya çıkardı. 'getAllAccounts' fonksiyonunda yapılan basit bir değişiklikle, uygulamanın geçerli bir kullanıcının giriş yaptığını düşünmesini sağlamak mümkündü. Bu yöntemle giriş ekranını başarıyla geçtiğini ifade etti.
Bu adımın ardından, sitenin Hindistan ile sınırlı kalmayıp dünya genelindeki geniş bir çalışan listesini sorgulamaya izin verdiği gözlemlendi. Anonim kullanıcılara (uzmanın kendisi gibi) açık olan bir API token'ı, çalışan verilerine daha derin bir erişim sağladı.
Uzman, her çalışan hakkında çekilebilen bilgi miktarı karşısında şaşkınlığını dile getirdi. "Bu basit web sitesinin ihtiyaç duyacağından çok daha fazlası," diyen araştırmacı, "Intel'in API'ları oldukça cömert!" yorumunu yaptı.
API sorgusundan URL filtresini kaldırmak, yaklaşık 1 GB boyutunda bir JSON dosyası indirmesine olanak tanıdı. Bu dosyada, her Intel çalışanına ait isim, görev, yönetici bilgisi, telefon numarası ve posta adresi gibi detayların yer aldığını belirtti.
Dört Farklı Sitede Güvenlik Zafiyeti
Uzmanın çalışmaları sadece kartvizit sitesiyle sınırlı kalmadı. Intel'in başka web sitelerinde de benzer güvenlik açıkları tespit edildi. "Üç farklı Intel sitesinde de 'Intel Outside' tarzı hack'lerin mümkün olduğunu duymak şaşırtıcı olabilir," diye ekledi.
Şirket içi 'Ürün Hiyerarşisi' web sitesinde, kolayca çözülebilecek şekilde kodlanmış kimlik bilgileri bulundu. Bu durum, çalışan verilerinin yanı sıra sisteme yönetici erişimi sağlama potansiyeli de taşıyordu. Benzer şekilde, Intel'in şirket içi 'Ürün Tanıtımı' sitesi de aynı türden güvenlik açıklarına sahipti.
Intel'in Tedarikçi Sitesi'ndeki kurumsal giriş ekranı da bypass edilebilen bir başka güvenlik önlemiydi. Bu durum, saldırganların "her Intel çalışanının detaylarını indirebileceği" dördüncü bir yol sunuyordu.
Yanıt ve Sonuç
Uzman, tespit ettiği bu zafiyetleri Ekim 2024'ten itibaren Intel ile paylaşmaya başladı. Ancak, Intel'in hata ödül programı (bug bounty) kapsamı dışında kaldığı için bu çalışmalarından herhangi bir ödül alamadı. Dahası, süreç boyunca Intel'den yalnızca standart bir otomatik yanıt aldığını belirtti.
Tüm bu güvenlik açıklarının 28 Şubat 2024'e kadar giderildiğini belirten uzman, bulgularını 18 Ağustos'ta yayınladığını açıkladı.
