Thought Leadership
Der Sicherheitsforscher Eaton Zveare hat mehrere Vulnerabilities in Intel-internen Websites entdeckt, über die sich Angreifer Zugang zu Mitarbeiterdaten hätten verschaffen können. Intel schloss die gemeldeten Sicherheitslücken nach der Benachrichtigung.
Der erste Schwachpunkt befand sich in einer internen Website von Intel Indien für die Bestellung von Visitenkarten. Zveare konnte die Authentifizierung umgehen und erhielt dadurch unberechtigten Zugriff.
“Die Website ist dafür gedacht, dass Intel-Indien-Mitarbeiter ihren Namen in der Mitarbeiterliste finden und auf Basis der Daten ihre Visitenkarte erstellen”, so der Forscher.
Obwohl die Seite zu Intel Indien gehörte, enthielt die zugrundeliegende Datenbank Informationen von Intel-Angestellten weltweit. Nach Zveares Analyse hätten sämtliche Mitarbeiterdaten heruntergeladen werden können.
Weitere Schwachstellen identifiziert
Die betroffenen Daten umfassten Name, E-Mail-Adresse, Telefonnummer und Stellenbezeichnung. Sensiblere Informationen wie Sozialversicherungsnummern oder Gehaltsangaben seien nicht exponiert gewesen, erklärte Zveare.
Der Forscher entdeckte zwei weitere interne Websites mit ähnlichen Problemen. Diese wiesen hartcodierte Zugangsdaten auf, die Admin-Zugriff ermöglichten. Die betroffenen Systeme dienten dem Hinzufügen von Produkten zu einer Anwendung sowie der Verwaltung von Produktgruppen.
Eine vierte interne Intel-Website zur Lieferantendatenverwaltung war ebenfalls von einer Authentication-Bypass-Schwachstelle betroffen. Diese hätte nicht nur Zugriff auf die Daten aller Intel-Mitarbeiter ermöglicht, sondern auch auf “große Mengen vertraulicher Informationen über Intels Lieferanten”.
Laut Zveare waren über diese Websites die Informationen von 270.000 Intel-Mitarbeitern und Beschäftigten zugänglich.
Intel: Keine Datenpanne aufgetreten
Auf eine Anfrage von SecurityWeek betonte Intel, dass es weder eine Datenpanne noch einen Datenabfluss oder unbefugten Zugriff auf Unternehmensdaten gegeben habe.
“Im Oktober 2024 meldete ein externer Sicherheitsforscher eine Schwachstelle, die mehrere Portale betraf. Nach der Benachrichtigung wurden sofort Korrekturmaßnahmen eingeleitet und eine vollständige Behebung umgehend abgeschlossen”, teilte ein Intel-Sprecher mit. “Intel bleibt fest entschlossen, unsere Sicherheitspraktiken kontinuierlich zu bewerten und zu stärken, um die Systeme und Informationen unserer Kunden und Mitarbeiter zu schützen.”
