Interne websites Intel lekken gegevens van 270.000 medewerkers
Een aantal kwetsbaarheden zijn ontdekt in een viertal interne websites van Intel. Via de beveiligingsproblemen waren via alle vier de sites de gegevens van 270.000 medewerkers van het techbedrijf te downloaden.
De problemen zijn ontdekt door security-onderzoeker Eaton Zveare, die in een blogpost zijn bevindingen deelt. Een van de beveiligingsproblemen maakte het mogelijk de inlogpagina voor een website waar Intel-medewerkers business cards kunnen bestellen te omzeilen. Deze website kon vervolgens worden uitgebuit om de details van meer dan 270.000 medewerkers van Intel te bemachtigen.
Ook een interne website voor producthierachië bleek kwetsbaar. Zveare meldt dat de site was voorzien van hardcoded inloggegevens, die eenvoudig ontsleuteld konden worden. Ook via dit lek was het mogelijk om gegevens van alle medewerkers van Intel te downloaden. Via andere hardcoded inloggegevens was het volgens de onderzoeker daarnaast mogelijk beheerdersrechten te verkrijgen op het systeem.
Ook website voor productonboarding kwetsbaar
Een derde website met beveiligingsproblemen is een interne website voor productonboarding, meldt Zveare. De onderzoeker meldt dat ook deze website voorzien was van hardcoded inloggegevens. Net als bij de twee eerder genoemde websites was het hiermee mogelijk de gegevens van alle Intel-medewerkers te bemachtigen. En ook in dit geval was een tweede set hardcoded inloggegevens beschikbaar, waarmee beheerdersrechten op het systeem konden worden verkregen.
Tot slot wijst Zveare op de mogelijkheid het inlogscherm te omzeilen op Intel's safety intellectual property management system (SEIMS) voor leveranciers. Ook via deze website was het mogelijk gegevens van 270.000 medewerkers te downloaden. "Aanvullende aanpassingen aan de client-zijde maakten het mogelijk om volledige toegang tot het systeem te krijgen, waardoor grote hoeveelheden vertrouwelijke informatie over de leveranciers van Intel konden worden ingezien", meldt de beveiligingsonderzoeker.
Geen reactie vanuit Intel
De kwetsbaarheden zijn door Zveare in oktober 2024 ontdekt en gemeld bij Intel. De beveiligingsonderzoeker meldt van het techbedrijf alleen een automatische reactie te hebben ontvangen, waarin het bedrijf aangeeft de melding te zullen onderzoeken. Ondanks meerdere pogingen via e-mail contact te krijgen meldt Zveare dat het niet gelukt is een reactie te krijgen van Intel.
Een uitgebreide analyse van de beveiligingsproblemen is hier te vinden.
Meer over Security
Over Wouter Hoeffnagel
