Pesquisador expõe falha que permitia acesso a dados de 270 mil funcionários da Intel

O pesquisador de segurança Eaton Z descobriu uma vulnerabilidade que possibilitava o download de dados de aproximadamente 270 mil funcionários da Intel. A falha estava no site Intel India Operations (IIO), utilizado por empregados para solicitar cartões de visita.

Segundo Eaton, era possível enganar o sistema para reconhecer um usuário como válido ao modificar a função “getAllAccounts” para retornar um array não vazio, o que permitia contornar a tela de login. Dessa forma, qualquer pessoa poderia acessar uma lista extensa de funcionários da empresa de todo o mundo.

A brecha se tornava ainda mais grave devido a um token de API disponível a usuários anônimos, que oferecia acesso ampliado aos dados. Ao remover filtros de URL durante a análise da API, Eaton conseguiu baixar um arquivo JSON de quase 1 GB contendo informações sensíveis, como nome, cargo, gerente, telefone e endereço residencial dos funcionários.

Falhas semelhantes também foram identificadas em outras plataformas da Intel, como “Product Hierarchy”, “Product Onboarding” e o login corporativo do “SEIMS Supplier Site”. O conjunto de vulnerabilidades foi apelidado pelo pesquisador de “Intel Outside” e reportado à empresa em outubro de 2024.

As brechas relatadas foram corrigidas até 28 de fevereiro de 2025. Eaton também destaca que, devido a cláusulas específicas, suas descobertas não se qualificaram para o programa de recompensas por bugs da companhia.