كشفت شركة Eaton Works عن سلسلة ثغرات أمنية خطيرة في عدد من المواقع الداخلية لشركة «إنتل»، مكّنت أحد الباحثين من الوصول الكامل إلى قاعدة بيانات الموظفين على مستوى العالم، بالإضافة إلى معلومات سرية تخص موردي الشركة.
التحقيق، الذي نُشر في 18 أغسطس 2025، أشار إلى وجود أربعة تطبيقات ويب داخلية تحتوي على نقاط ضعف حرجة. من بين أبرز تلك الثغرات: تجاوز إجراءات التحقق من الهوية في الواجهة الأمامية، واستخدام بيانات اعتماد مضمّنة (hardcoded)، وغياب تام لعمليات التحقق من جانب الخادم.
ومن خلال هذه الثغرات، تمكّن المهاجم من استخراج ملف JSON حجمه قرابة 1 غيغابايت، يحتوي على معلومات تفصيلية تشمل الأسماء، والمناصب، والمديرين المباشرين، وأرقام الهواتف، وعناوين البريد الإلكتروني للموظفين.
أحد المواقع المتضررة كان مخصص لموظفي فرع «إنتل الهند» ويُستخدم لطلب بطاقات العمل. وبمجرد تعديل بسيط على كود JavaScript في الصفحة، تم تجاوز تسجيل الدخول القائم على Azure. وداخل الواجهة الخلفية، وُجدت واجهة برمجية غير موثقة قادرة على إصدار رمز وصول (token) صالح. وعند إزالة فلتر البحث من الطلب، تم استرجاع قاعدة بيانات الموظفين بالكامل دون أي تحقق أمني.
وفي مثال آخر، أظهرت التحقيقات أن موقع إدارة «التسلسل الهرمي للمنتجات» كان يحتوي على كلمة مرور مشفّرة باستخدام خوارزمية AES ضعيفة بمفتاح: 1234567890123456، وهو ما جعله سهلاً في فك التشفير والدخول للنظام.
كما تبيّن أن موقع «إعداد المنتجات» تضمّن أسرار حساسة مثل مفاتيح API ورمز وصول خاص بـ GitHub، ما وفّر وسيلة أخرى لاختراق الأنظمة.
الثغرة الرابعة وُجدت في نظام SEIMS الخاص بإدارة حقوق الملكية الفكرية للموردين. وتمكّن المهاجم من تجاوز التحقق من الرمز الأمني عبر تعديل الكود الخاص بفحص صحة الرموز، ثم استغل واجهات برمجية لقبول رموز مزوّرة بقيمة خاطئة مكتوبة بـ: “Not Autorized”، ما أتاح له الوصول إلى بيانات شركاء إنتل، بما في ذلك اتفاقيات عدم الإفصاح (NDAs).
الباحث بدأ بالإبلاغ عن هذه الثغرات في 14 أكتوبر 2024، لكن سياسة المكافآت الخاصة بإنتل لا تشمل مواقع الويب، وتم توجيه التقارير إلى بريد إلكتروني أمني تلقى رد آلي دون تواصل مباشر. ومع ذلك، تم إصلاح جميع الثغرات قبل انتهاء فترة الإفصاح القياسي (90 يوم).
رغم أن البيانات لم تشمل أرقام الضمان الاجتماعي أو الرواتب، فإن حجم الاختراق ونوعية المعلومات التي تم الوصول إليها يسلطان الضوء على خلل خطير في البنية التحتية الأمنية لشركة بحجم «إنتل».
