1. Home
  2. 카테고리
  3. 뉴스
  4. 하드웨어 뉴스
  5. 연구원이 내부 명함 웹사이트에서 27만 명에 달하는 인텔(Intel) 직원 전체 데이터를 다운로드—‘Intel Outside’라 불린 대규모 데이터 유출은 버그 바운티 자격에 해당하지 않았다.
  • hw_reporterH hw_reporter

    연구원이 내부 명함 웹사이트에서 27만 명에 달하는 인텔(Intel) 직원 전체 데이터를 다운로드—‘Intel Outside’라 불린 대규모 데이터 유출은 버그 바운티 자격에 해당하지 않았다.

    hw_reporterH hw_reporter

    Eaton Z는 인텔이 이 연구를 공개하기 전에 발견된 모든 보안 격차를 완전히 폐쇄했는지 확인시켰다.

    article image

    보안 리서처이자 리버스 엔지니어, 애플리케이션 개발자인 이튼(Eaton)에 따르면, 2월 말까지 27만 명에 달하는 인텔(Intel) 직원들의 민감 정보 다운로드가 가능했습니다. 이 모든 정보는 직원들이 명함을 주문하는 인텔 인도 운영(Intel India Operations, IIO) 웹사이트에 '유효한 사용자'로 접근하는 작은 우회 조작만으로 얻을 수 있었습니다. 리서처가 'Intel Outside'라고 명명한 이 잠재적 해킹의 근본적인 취약점은 2024년 10월부터 인텔과 서신을 교환하며 상세히 보고되었습니다. 더욱이, 해당 명함 사이트는 보안 허점이 발견된 총 네 개의 사이트 중 하나에 불과했습니다.

    저는 "Intel Outside"라는 이름으로 명명한 최신 연구 프로젝트를 공유하게 되어 기쁩니다. 지난 가을, 인텔 웹 인프라에서 수많은 심각한 취약점을 발견하여 27만 명 이상의 인텔 직원/근무자 및 기타 민감 정보들을 유출할 수 있었습니다. (첨부 트윗 및 날짜 유지)

    그가 작성한 장문의 블로그 게시물 서론에서 짐작할 수 있듯이, 이튼은 인텔이 프로세서 하드웨어 취약점의 역사를 가진 기업인 점을 고려하여 인텔 웹사이트의 잠금장치를 시험하는 것이 가치가 있을 것이라고 판단한 것으로 보입니다. 제목이 된 이 결과는 이튼의 초기 직감이 정확했음을 입증했습니다.

    해킹 작동 방식: "배경이 화려할수록 로그인 페이지는 덜 효과적이다"

    이튼은 전한 바와 같이, 초기 경계(perimeter) 탐색을 마친 후 명함 로그인 양식 뒤에 있는 자바스크립트(JavaScript) 파일을 검토하기로 결정했습니다. 그는 때때로 "getAllAccounts 함수를 수정하여 비어있지 않은 배열을 반환하도록 애플리케이션을 속여 유효한 사용자가 로그인된 것으로 착각하게 할 수 있었다"고 설명했습니다. 실제로 이 방법은 작동하여 이튼을 로그인 화면을 통과시키는 데 성공했습니다.

    (기사 내 다른 보안 관련 기사 제목은 내용 전달을 위해 제목 형태로 유지)

    다음으로, 이 웹사이트가 인도에 국한되지 않고 전 세계 직원의 방대한 목록을 조회할 수 있게 되어 이 깊이까지 조사가 가능했음이 관찰되었습니다. 익명의 사용자(예: 이튼)에게 제공된 API 토큰은 직원 데이터에 더욱 깊은 접근을 가능하게 했습니다.

    이후, 이튼은 모든 직원에 대해 조회할 수 있는 정보의 양에 놀라움을 표했습니다. 그는 "이 단순한 웹사이트가 결코 필요로 할 양보다 훨씬 많다"며 "인텔의 API는 매우 관대하다!"라고 논평했습니다.

    상황은 인텔에 더 심각했고, 이튼에게는 그렇지 않았습니다. 조사 중이던 API에서 URL 필터를 제거하자, 결국 "거의 1GB 분량의 JSON 파일"을 얻게 되었습니다. 이 다운로드 파일에서 이튼은 모든 인텔 직원(현재는 숫자가 감소함)의 세부 정보가 포함되어 있음을 확인했습니다. 데이터에는 각 직원의 이름, 직무, 관리자, 전화번호, 우편 주소 등 다양한 필드가 포함되어 있었습니다.

    세 개의 다른 인텔 웹사이트가 쉬운 탐색으로 인해 무력화되다

    이튼은 다른 여러 인텔 웹사이트의 보안 취약점을 하나하나 테스트했습니다. 놀라지 않으실 수도 있지만, 세 개의 다른 취약한 'Intel Outside' 방식의 해킹이 더 가능했음이 밝혀졌습니다.

    내부 '제품 계층 구조(Product Hierarchy)' 웹사이트에서 이튼은 쉽게 해독 가능한 하드코딩된 자격 증명(credentials)을 발견했습니다. 이로 인해 인텔 직원 데이터의 방대한 목록은 물론, 시스템에 대한 관리자 권한 획득 가능성까지 확보할 수 있었습니다. 마찬가지로, 인텔의 내부 '제품 온보딩(Product Onboarding)' 시스템 역시 쉽게 해독 가능한 하드코딩된 자격 증명에 취약했습니다.

    인텔(Intel)의 SEIMS 공급업체 사이트(Supplier Site)에 있는 기업용 로그인 기능 또한 우회할 수 있는 보안 조치였습니다. 이를 통해 공격자는 "모든 인텔 직원들의 상세 정보를 다운로드"할 수 있는 놀라운 네 번째 방법을 발견한 것입니다.

    현재 상황

    이튼은 2024년 10월부터 발견한 내부 웹사이트의 모든 결함에 대해 인텔과 지속적으로 소통했습니다. 안타깝게도 이튼이 수행한 작업 중 어느 것도 '별도의 작은 글씨'로 인해 인텔의 버그 바운티(bug bounty) 지급 대상에서 제외되었습니다. 설상가상으로, 이튼이 전 과정 동안 받은 것은 인공적인 자동 응답에 불과했습니다.

    (본문의 마지막 문단은 영어 원문 톤을 살리면서, 실제 발생한 상황을 강조하여 마무리했습니다.)

    [출처:] https://www.tomshardware.com/tech-industry/cyber-security/researcher-downloaded-the-data-of-all-270-000-intel-employees-from-an-internal-business-card-website-massive-data-breach-dubbed-intel-outside-didnt-qualify-for-bug-bounty

    0
로그인 후 답글 작성