Intel Outside: vulnerabilità interna espone i dati di 270.000 dipendenti a rischio globale

Un ricercatore di sicurezza indipendente, noto come Eaton Z, ha dimostrato come una vulnerabilità apparentemente banale su un portale interno di Intel abbia messo a rischio i dati di oltre 270.000 dipendenti dell’azienda, in tutto il mondo. L’incidente, battezzato “Intel Outside” solleva interrogativi sulla gestione delle superfici d’attacco interne, sul valore delle segnalazioni di sicurezza e sulla relazione tra aziende e community di ricerca indipendente.

Intel Outside: una porta aperta dietro un login “di facciata”

Nella sua analisi, il ricercatore spiega di aver individuato come punto d’ingresso il sito Intel India Operations (IIO), una piattaforma utilizzata dai dipendenti per ordinare i propri biglietti da visita aziendali. A un’analisi preliminare del codice JavaScript associato al form di login, Eaton Z ha scoperto che era possibile aggirare l’autenticazione semplicemente modificando la funzione getAllAccounts per farle restituire un array non vuoto.

In altre parole, un bypass di autenticazione elementare, ma sufficiente ad aprire l’accesso a un portale che gestiva dati personali.

Dati esposti: un archivio da 1 GB

Superato il login, l’API del sito risultava eccessivamente permissiva. Tramite un token accessibile anche a utenti anonimi, Eaton è riuscito a rimuovere i filtri sugli URL e scaricare un file JSON da circa 1 GB, contenente informazioni personali e professionali di tutti i dipendenti Intel a livello globale:

• nome e cognome,
• ruolo e manager di riferimento,
• indirizzo e-mail e numero di telefono,
• indirizzi di residenza e recapiti postali.

Dati di questa natura, nelle mani di un criminale informatico, avrebbero potuto alimentare campagne di spear phishing mirato, social engineering, attacchi di compromissione dell’identità digitale o addirittura schemi di supply chain fraud.

Non solo biglietti da visita: quattro portali vulnerabili

La scoperta non si è limitata al portale IIO. Con un approccio metodico, Eaton ha verificato la sicurezza di altri sistemi interni Intel, riscontrando tre ulteriori vulnerabilità critiche:

• Product Hierarchy – presenza di credenziali hardcoded facilmente decifrabili, con accesso esteso ai dati dei dipendenti e privilegi amministrativi.
• Product Onboarding – stessa dinamica, credenziali statiche e accesso non autorizzato.
• SEIMS Supplier Site – bypass del login aziendale, che consentiva nuovamente l’estrazione massiva delle anagrafiche.

Esaminando le informazioni condivise dal ricercatore, emerge che in tutti i casi il denominatore comune era la mancanza di controlli di sicurezza basilari: hardening assente, validazione insufficiente lato server, credenziali gestite in modo non sicuro.

Bug bounty: la frustrazione del ricercatore

Sulla base di quanto previsto dal programma Bug Bounty Intel, che dovrebbe incentivare la condivisione responsabile delle informazioni sulle falle di sicurezza, l’azienda di Santa Clara non ha riconosciuto alcun premio al ricercatore. Le vulnerabilità sui portali interni, infatti, risultavano escluse dal perimetro del regolamento.

Eaton spiega che la società, guidata da Lip-Bu Tan, si è limitata a un’unica risposta automatica, senza attivare alcuna interazione diretta con il team di sicurezza. Solo a fine febbraio 2025 le falle risultavano chiuse, con una serie di correzioni implementate silenziosamente.

Note finali

Il caso “Intel Outside” mostra con chiarezza alcune importanti aree di miglioramento nella sicurezza applicativa enterprise.

Innanzi tutto, appare evidente come sia imprescindibile la validazione server-side obbligatoria: i controlli lato client sono infatti aggirabili. Allo stesso modo, password harcoded e token statici non devono mai comparire nel codice; inoltre, le API non dovrebbero mai restituire più dati del necessario.

Escludere portali interni dal “campo applicativo” dei programmi Bug Bounty riduce drasticamente la copertura reale del programma.