Una vulnerabilità nei portali interni di intel ha reso accessibili informazioni riservate su migliaia di profili aziendali.
Un ricercatore indipendente, noto come Eaton Z, ha individuato una grave vulnerabilità in un portale interno di intel dedicato alla gestione dei biglietti da visita aziendali. Il sistema, pensato per usi interni, permetteva con un semplice trucco di aggirare l’autenticazione e ottenere un token API valido anche per utenti non registrati. Attraverso questa falla era possibile scaricare un file JSON di quasi 1 GB contenente dati di circa 270.000 dipendenti. Le informazioni comprendevano nomi, ruoli aziendali, manager di riferimento, indirizzi email, numeri di telefono e indirizzi postali. La scoperta ha mostrato come, con pochi passaggi tecnici, si potessero aprire le porte a un archivio globale di dati sensibili.
Come è avvenuta la scoperta e quali dati erano accessibili
Il ricercatore ha analizzato il codice del portale di intel india operations notando che la funzione getAllAccounts poteva essere manipolata. Bastava modificarla perché restituisse dati senza restrizioni, permettendo così l’ottenimento di un token API utilizzabile per estrarre l’intero archivio. Una volta scaricato, il file ha rivelato un’enorme quantità di dati personali e professionali di dipendenti in tutto il mondo, non solo della sede indiana.
Le informazioni raccolte non erano banali: includendo email e numeri di telefono, i dati avrebbero potuto alimentare attacchi di phishing, spear phishing e tentativi di social engineering. Il fatto che anche i manager fossero elencati rendeva ancora più grave il rischio, perché i malintenzionati avrebbero potuto simulare comunicazioni interne credibili, aumentando la probabilità di truffe mirate.
Non si trattava di un caso isolato. Analizzando altri portali interni, il ricercatore ha trovato credenziali hardcoded, bypass dei login e perfino accessi diretti a sezioni amministrative. Difetti tecnici che mostravano una mancanza di controlli e un approccio superficiale alla sicurezza interna. In mani criminali, queste falle avrebbero potuto trasformarsi in un punto d’ingresso per attacchi mirati di più ampia portata.
Reazioni, ritardi e responsabilità di intel
La vulnerabilità era stata segnalata già nell’ottobre 2024, ma la risposta ricevuta dal ricercatore fu solo una email automatica. Nessun contatto diretto, nessun riconoscimento. Le correzioni effettive sono arrivate solo a febbraio 2025, dopo mesi di esposizione. Nel frattempo, i portali sono rimasti attivi, con la possibilità per chiunque avesse intuito la falla di accedere ai dati senza grandi difficoltà.
Il problema più discusso è che i sistemi coinvolti non rientravano nel programma bug bounty ufficiale di intel, che escludeva i portali interni. Per questo motivo il ricercatore non ha ricevuto alcun compenso, nonostante l’importanza della scoperta. La vicenda ha aperto interrogativi sulla reale utilità dei programmi di segnalazione se lasciano fuori parti critiche delle infrastrutture aziendali.
Il caso, battezzato “Intel Outside”, evidenzia come anche colossi tecnologici possano trascurare aree di rischio. L’assenza di controlli lato server, la presenza di token statici e di credenziali codificate ha messo a nudo pratiche poco sicure. Per migliaia di dipendenti il pericolo è stato reale: i dati potevano finire in mani criminali, con conseguenze che vanno dal furto di identità all’uso fraudolento per attacchi informatici più sofisticati.
Oggi la falla risulta chiusa, ma resta il dubbio sulla gestione: i tempi di reazione, il silenzio prolungato e la mancanza di riconoscimento ufficiale hanno minato la fiducia. Il ricercatore ha dimostrato come sia possibile scovare e sfruttare vulnerabilità con strumenti semplici, mentre l’azienda non ha mostrato la stessa rapidità nel metterle in sicurezza. Una lezione che rimane impressa nel dibattito sulla protezione dei dati.