خب بذار خیلی خودمونی برات تعریف کنم که توی این ماجرا چه خبر بوده! یه محقق امنیتی به اسم Eaton Z، ظاهراً تونسته وارد یه سایت داخلی اینتل بشه و اطلاعات فوقالعاده حساسی رو به دست بیاره. اونجوری که خودش گفته، اطلاعات همهی کارمندای اینتل – یعنی چیزی حدود ۲۷۰ هزار نفر! – لو رفته. اسم، سمت شغلی، مدیرشون کیه، آدرس و شماره تلفن و خلاصه هرچیزی که فکرشو بکنی تو این اطلاعات بوده!
داستان از این قرار بود که یه پورتال کاری (همون سایتهایی که کارمندها استفاده میکنن)، یه صفحه ورود داشته که اصلاً درست طراحی نشده بوده. یه جورایی میشه گفت میشد خیلی راحت گولش بزنی و نیاز به پسورد درست و حسابی نبوده! پورتال هم جالبه، یه چیزی مثل سایت معرفی کارت ویزیت دیجیتال بوده واسه کارمندای اینتل.
Eaton فهمیده اگه یه کوچولو با سیستم اعتبارسنجی (یعنی چک کردن اینکه کسی که وارد میشه مجازه یا نه) بازی کنه، میتونه راحت وارد بشه و به کل اطلاعات دسترسی پیدا کنه؛ یعنی اصلاً نیاز نبوده کارمندی واقعاً لاگین کنه!
حالا فکر کن شروع اولش کوچیک بوده، ولی وقتی یکم بیشتر داخل سایتو میگرده، میبینه این پورتال یه عالمه اطلاعات فراتر از چیزی که لازم داشته، در دسترس قرار میده! نتیجه چی میشه؟ یه فایل تقریباً یک گیگابایتی دانلود میکنه که شامل اطلاعات ۲۷۰ هزار نفره!
حالا چرا این موضوع خطرناکه؟ چون اگه این اطلاعات برسه دست آدمای بد، میتونن حسابی سوءاستفاده کنن: مثلاً دزدی هویت (یعنی خودشون رو جای یکی دیگه جا بزنن)، حملات فیشینگ (این یه جور کلاهبرداری سایبریه که باهاش سعی میکنن اطلاعات حساس بگیرن)، یا حملات مهندسی اجتماعی (یعنی با ترفند، از خودِ کارمندها اطلاعات بگیرن).
ولی نکته اینجاست که تنها همین یه سایت مشکل نداشته! Eaton گفته سه تا سایت دیگه داخلی اینتل هم با همین ترفندها قابل نفوذ بوده. مثلاً پورتالی مثل “Product Hierarchy” و “Product Onboarding” بوده که داخلش اطلاعات ورود (یعنی یوزرنیم و پسورد) به صورت ثابت و ساده نوشته شده بوده و حتی قابل رمزگشایی هم بوده! اصلاً یه صفحه ورود مخصوص تأمینکنندهها هم خیلی راحت رد میشده.
کل این حفرهها باعث شده بودن چندین درِ باز برای هکرها به محیط داخلی اینتل وجود داشته باشه. واقعاً برای شرکتی مثل اینتل—که همیشه روی اعتماد دیجیتال تاکید میکنه—خیلی بعیده!
Eaton اولین بار توی مهر ۱۴۰۳ (اکتبر ۲۰۲۴) به اینتل گزارش داده. ولی جواب درست و حسابی نگرفته و فقط یه پیام اتوماتیک براش اومده! تازه، اینتل تا اسفند ۱۴۰۳ (اواخر فوریه ۲۰۲۵)، تازه اشکالات رو رفع کرده.
جالبتر اینکه Eaton هیچ جایزهای (همون Bug Bounty یعنی جایزه کشف باگ برای امنیتیها) هم نگرفته؛ چون اینتل طبق قوانینش این موارد رو جزو جایزه به حساب نیاورده بوده. اینم خودش داستانیه!
پایین داستان اینه که حتی اگه شرکتها دیوار آتیش (همون Firewall، برنامهای که جلوی نفوذ رو میگیره) و بستههای امنیتی حرفهای نصب کنن، یه اشتباه کوچیک توی طراحی سایتهاشون میتونه کل سیستمشون رو لو بده! یادت باشه همیشه این جور مشکلات از جایی پیش میاد که انتظارشو نداری.
در نهایت اگر کنجکاوی یا توی زمینه امنیت اطلاعات کارت خیلی جدیه، سایت Eaton رو که همه جزئیات رو توضیح داده میتونی ببینی، یا برو یه سر به سرویسهای ایمیل موقت یا پراکسی بزنی (اینا ابزارهایی هستن برای امنیت بهتر و حفظ حریم شخصی در نت).
منبع: +
