Etyczni hakerzy kontra korporacje: kto naprawdę zyskuje?
Etyczny haker znalazł poważną podatność w firmie Intel, która narażała dane 270 tysięcy pracowników. Zgłosił problem i zaoferował wsparcie w naprawie. W zamian otrzymał automatycznie wygenerowaną wiadomość „dzięki”.
Pod koniec 2024 r. Eaton Zveare odkrył cztery luki bezpieczeństwa w wewnętrznych systemach Intela. Dzięki tym błędom uzyskał dostęp do danych około 270 000 pracowników firmy. Wyciągnął wrażliwe dane z wewnętrznej strony służącej do zamawiania wizytówek.
Dane zawierały m.in. imiona i nazwiska, funkcje, numery telefonów i adresy służbowe.
Eaton opisał swoje odkrycie na blogu, czego dowiadujemy się za pomocą jego profilu na platformie X.
I am excited to share my latest research project I have dubbed the "Intel Outside" project. Last fall I discovered many critical vulnerabilities in Intel's web infrastructure that allowed me to exfiltrate sensitive information about 270k Intel employees/workers, and more. pic.twitter.com/oRXiEP5mPn
— Eaton Z. (@XeEaton) August 18, 2025
Dziękujemy za pomoc
Eaton przekazał wyniki zgłoszenia do Intela w październiku 2024. Poprawki w zabezpieczeniach systemu zostały wdrożone dopiero 90 dni później, w lutym 2025 r.
W zamian od firmy otrzymał tylko automatyczne podziękowanie.
Autor. Eaton Zveare
Etyczny haker ujawnił poważne niedociągnięcia w zabezpieczeniach wewnętrznych systemów Intela, narażając dane setek tysięcy pracowników. Choć firma wdrożyła poprawki, opóźniona reakcja i symboliczne podziękowanie pokazują duży problem w reagowaniu na zgłoszenia zagrożeń bezpieczeństwa.
Czytaj też
Luka nie wchodzi w program bug bounty
Program bug bounty to inicjatywa, w ramach której firmy oferują nagrody pieniężne etycznym hakerom za wykrywanie i zgłaszanie luk w zabezpieczeniach swojego oprogramowania. Programy te pozwalają organizacjom wykorzystać umiejętności hakerów do stopniowego wzmacniania swojego bezpieczeństwa.
W wiadomości wysłanej do Eatona czytamy, że znaleziona krytyczna podatność nie jest w programie bug bounty firmy Intel.
Luki w zabezpieczeniach sprzętu są warte nawet 100 tysięcy dolarów, podczas gdy błędy stron internetowych są po prostu wrzucane do czarnej dziury skrzynki odbiorczej
zauważa Eaton Zveare
Czytaj też
Ogólny problem z bug bounty
Dane, które Eaton mógł pozyskać z niezabezpieczonej strony Intela na darknetowych forach są warte tysiące dolarów, ze względu na ilość oraz fakt, że pochodzą z ogromnej firmy technologicznej. Zwykłe podziękowanie, nie wydaje się zatem być wystarczającą rekompensatą trudu i wysiłku, które włożył w to aby opisać i zgłosić krytyczną podatność.
Niestety, problem ten jest znacznie częstszy, niż mogłoby się wydawać. W programach bug bounty hakerzy są zachęcani obietnicą uznania i wynagrodzenia finansowego za wykrycie luk w zabezpieczeniach. W praktyce jednak często wygląda to inaczej.
Po zgłoszeniu podatności firmy mogą zwlekać miesiącami, a nawet latami, zanim udzielą odpowiedzi. Czasami wypłacone nagrody są też niższe, niż hakerzy się spodziewali. To zniechęca do udziału w programach i sprawia, że wielu z nich rezygnuje z poszukiwania i zgłaszania luk.
Skutki są obustronne:
- Hakerzy tracą motywację i czasem decydują się sprzedawać swoje odkrycia na darknecie, zamiast współpracować z firmami.
- Firmy z kolei tracą szansę na wykrycie krytycznych luk i narażają się na realne zagrożenia bezpieczeństwa.
Efekt? Obie strony przegrywają . Etyczni hakerzy są zniechęceni, a organizacje stają się bardziej podatne na ataki.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
WYCIEKI DANYCH z firm. JAK ZAPOBIEGAĆ wynoszeniu danych przez pracowników?
Materiał sponsorowany