'Inloglekken op Intel-sites gaven toegang tot gegevens van al het personeel'

In dit artikel:

Een securityonderzoeker, Eaton Zveare, meldt dat via meerdere interne Intel-portals wereldwijd persoonsgegevens van ongeveer 270.000 medewerkers toegankelijk waren. Hij beschrijft in een uitgebreide blogpost dat kwetsbaarheden — zoals eenvoudig te omzeilen aanmeldprocedures, ingebakken en gemakkelijk te ontsleutelen inlogreferenties en een omzeiling van Microsoft Azure-authenticatie — toegang mogelijk maakten tot sites voor personeelszaken en partnerportals.

Concreet noemt Zveare vier getroffen omgevingen: een interne Intel India-site waarmee visitekaartjes worden besteld, plus interne portals voor 'product hierarchy' en 'product onboarding', en de extern gerichte leveranciersuitwisseling SEIMS (een platform voor uitwisseling van informatie over intellectueel eigendom en thema’s als veiligheid, gezondheid en milieu). Via die systemen kon informatie over tienduizenden werknemers worden gedownload.

De bevindingen zijn volgens de onderzoeker aan Intel gemeld; het bedrijf zou de geconstateerde lekken hebben verholpen. Zveare geeft aan geen beloning te ontvangen omdat Intels bugbountyprogramma interne sites uitsluit. De verantwoordings- en reparatietijdlijn loopt van 14 oktober vorig jaar tot 18 augustus dit jaar. Technische details en voorbeelden staan in zijn gepubliceerde rapport; Tweakers heeft zowel Zveare als Intel om nadere toelichting gevraagd.