Исследователь безопасности Eaton опубликовал подробности о двух уязвимостях в веб-приложениях Johnson & Johnson. Первая — в системе Campus Recruiting, которую компания использует для поиска молодых специалистов на университетских ярмарках вакансий.
Студенты получали ключ события и отправляли через сайт свои данные. В коде нашлись приватные маршруты для рекрутеров, защищённые Microsoft SSO через библиотеку Microsoft Authentication Library (MSAL). Eaton выяснил, что аутентификация работала только на фронтенде: он просто подменил код MSAL, чтобы та всегда считала, что определённый пользователь залогинен. Доступ к панели рекрутера открылся мгновенно — там можно было управлять событиями, создавать новые и смотреть данные студентов, включая оценки и заметки интервьюеров. Проблема оказалась в том, что MSAL-токен вообще не использовался на сервере. Все API-запросы к AWS авторизовались жёстко прописанным API-ключом. В зону риска попали данные почти 1000 студентов. JnJ пофиксили эту уязвимость в октябре 2025, заменив ключ на нормальный Bearer token.
Вторая уязвимость — в Audit Tracking Management System (ATMS), внутренней системе для управления аудитами 20 дочерних компаний JnJ, включая LifeScan, Ethicon, Janssen и другие. Там тоже стоял Microsoft SSO, но само ReactJS-приложение скачивалось до редиректа на логин. Eaton нашёл в нём эндпоинт getAllUsers, который без какой-либо аутентификации вернул список из 13 600 сотрудников JnJ. Все внутренние API оказались открыты. Дальше — чистая техника: на странице помощи нашлись данные системного администратора (имя и WWID), которые исследователь прописал в локальное хранилище браузера через перехват кода. Авторизация просто проверяла наличие этих значений, а не подлинность токена. Получив сессионный GUID через новый GET-запрос, Eaton вошёл в систему как полноценный админ с доступом к конфиденциальной информации и протоколам встреч. Внутри использовалась, по словам исследователя, «довольно глупая» клиентская схема шифрования для сокрытия секретных значений.
Скорость реакции JnJ разочаровала. Обе уязвимости сообщили в октябре 2025. Campus Recruiting закрыли за месяц, а ATMS игнорировали почти полгода — тишина на повторные письма в ноябре, декабре, январе и апреле. Исправили её только после того, как журналист связался с пресс-службой компании. Полный цикл занял с октября 2025 по апрель 2026. При том что предыдущий баг-репорт в 2024 обработали образцово.