Intel : failles sur des sites internes exposant les données de 270k+ employés via identifiants codés en dur et contournements

Source : eaton-works.com — Un billet publié le 18 août 2025 décrit des vulnérabilités graves découvertes sur plusieurs sites internes d’Intel. L’auteur explique avoir pu contourner des mécanismes de connexion, exploiter des identifiants codés en dur et des APIs trop permissives pour accéder à des données sensibles. Les jetons et identifiants exposés ont depuis été révoqués/rotés, et Intel a corrigé les failles avant la publication.

Principales expositions et vecteurs d’attaque

• Business Card (site interne) : contournement du login corporate, permettant de télécharger les détails de plus de 270 000 employés/travailleurs.
• Product Hierarchy (site interne) : identifiants codés en dur facilement déchiffrables donnant accès aux détails de tous les employés ; d’autres identifiants codés en dur permettaient un accès administrateur.
• Product Onboarding (site interne) : mêmes identifiants codés en dur facilement déchiffrables ouvrant l’accès aux données de tous les employés ; identifiants supplémentaires menant à un accès admin.
• SEIMS Supplier Site : contournement du login corporate puis, via modifications côté client, accès complet au système exposant de larges volumes d’informations confidentielles sur les fournisseurs d’Intel et un quatrième moyen de télécharger les détails de tous les employés.

Causes techniques mises en évidence

• Identifiants codés en dur et chiffrement dérisoire des secrets.
• APIs trop généreuses facilitant l’exfiltration en masse.
• Contrôles côté client contournables, menant au bypass d’authentification et à l’élévation de privilèges (admin).

Réponse d’Intel et chronologie

• Le programme de bug bounty excluait alors les identifiants exposés et l’infrastructure *.intel.com de la rémunération ; l’auteur indique n’avoir reçu qu’une réponse officielle minimale, mais toutes les failles ont été corrigées.
• Timeline fournie :
  • 14 oct. 2024 : signalement Business Card.
  • 29 oct. 2024 : signalements Hierarchy Management et Product Onboarding.
  • 11 nov. 2024 : précisions correctives.
  • 12 nov. 2024 : signalement SEIMS.
  • 2 déc. 2024 : demande de rotation des identifiants divulgués.
  • 28 fév. 2025 : toutes les vulnérabilités sont résolues (>90 jours après le premier rapport).
  • 18 août 2025 : publication du billet. Intel a depuis étendu la couverture du bug bounty aux services.

TTPs et IOCs

• TTPs : contournement d’authentification (SSO), utilisation d’identifiants codés en dur, dé chiffrement/obfuscation faible de secrets, modifications client-side pour élargir l’accès, élévation de privilèges (admin), exfiltration de données via APIs.
• IOCs : aucun indicateur technique spécifique (IP, domaines, hachages) n’est fourni dans l’extrait.

Il s’agit d’un rapport de vulnérabilité détaillant des failles web internes chez Intel et leur correction, avec un objectif de divulgation responsable.

---

🔗 Source originale : https://eaton-works.com/2025/08/18/intel-outside-hack

🖴 Archive : https://web.archive.org/web/20250824191249/https://eaton-works.com/2025/08/18/intel-outside-hack