最近处理器大厂英特尔（Intel）不断出现在新闻版面，从8月上旬美国总统川普（Donald Trump）呼吁执行长陈立武辞职，到8月中旬传出美国政府有意入股、日本软件银行集团（SoftBank Group）宣布买下该公司价值20亿美元股票，而有可能对台积电等大厂造成威胁。如今有资安人员公布调查结果，指出该公司内部网站存在弱点，有可能导致全部员工的资料曝光，再度引起外界关注。

本週资安研究员Eaton Zveare指出，他从去年10月至12月，在处理器大厂英特尔旗下的内部网站找到一系列资安漏洞，使得外部攻击者有机会将该公司27万员工的敏感资讯外流，今年2月底Eaton Zveare确认英特尔已完成修补，因此他决定公布相关细节，并指出Intel漏洞悬赏专案的範围只有针对Intel.com网域，并不包含其他该公司持有的网站，且导致帐密资料曝露、外洩的弱点，亦未在专案的悬赏範围，因此他并未得到奖励，而是只有收到自动回覆的感谢邮件。

对此，我们也向英特尔进行确认，该公司表示，针对2024年10月外部安全研究人员通报，英特尔多个入口网站出现漏洞一事，他们已在收到通知后立即採取修正措施，并在当时迅速完成全面修复。英特尔始终坚定承诺，持续评估并加强安全措施，以保护英特尔的系统，以及客户与员工的资讯安全。

Eaton Zveare揭露的弱点当中，最严重的出现在英特尔印度分公司Intel India Operations经营的名片订购网站，此网站架设于Azure，以网页应用程序框架Angular打造而成，攻击者可藉由窜改特定的JavaScript文件，在未经身分验证的情况下存取此应用系统。值得留意的是，该网站虽然是供印度员工使用，但能存取全公司的员工资料，包含姓名、角色、电话号码、电子邮件信箱，未有社会安全码（SSN）等敏感资料。Eaton Zveare透过特定的API，从该网站下载约1 GB的JSON文件。

另一个弱点出现在该公司的Product Hierarchy网站，攻击者可轻易解密写死的（hardcoded）帐密，从而下载所有员工资料。Eaton Zveare指出，还有其他的写死帐密，可被用于以管理员身分存取系统。

第三个弱点出现于Product Onboarding网站，同样能被攻击者可轻易解密写死的帐密，从而下载所有员工资料。

最后一个弱点能被绕过SEIMS Supplier Site的合作厂商登入介面，使得攻击者能下载每个英特尔员工的详细资料。此外，若是进一步窜改用户端，就有可能取得完整的系统存取权限，存取英特尔供应商的机密资讯。