Intel-datalek: gegevens medewerkers waren op te vragen via API

In dit artikel:

Securityonderzoeker Eaton Zveare ontdekte dat via meerdere kwetsbaarheden in interne portals van Intel persoonsgegevens van ongeveer 270.000 “medewerkers” toegankelijk waren — een hoger aantal dan het daadwerkelijke personeelsbestand omdat ook gegevens van toeleveranciers meelekten. De zwakke plekken zaten vooral in slecht afgeschermde inlogmechanismen: een Intel India-visitekaartjespagina kon gegevens via een API ophalen zonder echte credentials, andere interne portals voor producthiërarchie en productonboarding leken vergelijkbaar zwak, en het externe SEIMS-platform (gebruikt voor uitwisseling met leveranciers over intellectueel eigendom) bood een vierde route naar informatie. Zveare meldt bovendien dat sommige problemen bestonden uit het omzeilen van Microsoft Azure-logins en ingebakken, relatief eenvoudig te ontsleutelen inlogreferenties.

Het responsible-disclosuretraject liep ruim tien maanden: Zveare bracht Intel op de hoogte op 14 oktober vorig jaar en publiceerde zijn uitgebreide bevindingen op 18 augustus; Intel heeft de gemelde gaten inmiddels gedicht. Hoewel het lek serieus was, kreeg de onderzoeker geen bugbounty-uitkering omdat Intel’s beloningsprogramma interne sites uitsluit; Zveare ontving volgens eigen zeggen slechts één e-mail. Intel heeft het bugbountyprogramma wel uitgebreid, maar die wijziging laat Zveare’s melding geen financiële vergoeding opleveren.

De zaak illustreert het risico van onvoldoende beveiligde interne portals en het belang van een ruim bemeten kwetsbaarhedenbeleid dat ook interne systemen en ketenpartners dekt.