Intel bevestigt kwetsbaarheden in interne portals na melding onderzoeker

In dit artikel:

Intel heeft bevestigd dat een externe onderzoeker meerdere kwetsbaarheden in verschillende portalsites van het bedrijf meldde, waaronder een site voor personeelsvisitekaartjes en een informatie-uitwisselingsportaal voor partners. De melding werd in oktober vorig jaar gedaan; Intel zegt meteen corrigerende maatregelen te hebben genomen en de problemen kort daarna te hebben opgelost.

Securityonderzoeker Eaton Zveare ontdekte volgens zijn eigen rapport vier verschillende manieren om authenticatie op die portals te omzeilen. Op sommige sites trof hij ingebakken inloggegevens aan die hij kon ontsleutelen, waarna hij kon inloggen en personeelsgegevens downloaden. Hij deed meldingen in oktober, november en december, maar ontving alleen een automatische ontvangstbevestiging van Intel.

Eind februari liet Zveare Intel weten dat hij zijn bevindingen openbaar wilde maken; tegen die tijd waren meer dan negentig dagen verstreken sinds zijn eerste melding en volgens hem waren de kwetsbaarheden verholpen. De uiteindelijke publicatie van zijn onderzoek vond deze week plaats. Hij verklaart de vertraging doordat hij tegelijk werkte aan een ander disclosuretraject over een kwetsbaarheid in een autofabrikantportaal — dat hij op DEF CON presenteerde — en daarom de Intel-openbaarmaking uitstelde.

Intel gaf geen inhoudelijke reactie op vragen over de basale fouten zoals eenvoudig te omzeilen authenticatie en hardgecodeerde referenties, en zegt zich te blijven inzetten voor het versterken van beveiligingspraktijken. Een interne bron zei dat er geen sprake zou zijn van een datalek of ongeautoriseerde toegang tot Intel-data; Zveare daarentegen bevestigt dat hij toegang had tot gegevens van Intel-personeel wereldwijd en vermoedt dat Intel met de bewering bedoelt dat niemand anders toegang heeft gehad of dat er geen publieke uitlekken plaatsvonden. Zveare heeft verder geen vervolgcontact van Intel ontvangen en verwacht dat ook niet.