Via verschillende kwetsbaarheden in interne sites van Intel hadden ongeautoriseerde gebruikers toegang tot personeelsgegevens van circa 270.000 medewerkers, meer dan het bedrijf in dienst had of heeft. Eenvoudig te omzeilen logins en ingebakken inlogreferenties vormden de zwakste schakels.
Securityonderzoeker Eaton Zveare ontdekte de lekken. De inlogpagina voor Intel India vereiste allereerst niet eens een daadwerkelijke credential om via de API gegevens te downloaden naar wens. Zveare vond daarna drie andere interne Intel-sites waarbij personeelsinformatie te ontfutselen was. Ook informatie over toeleveranciers was hierbij te vinden, wat verklaart waarom er een hoger aantal medewerkers dan het Intel-personeelsbestand telt, aan het lek was blootgesteld.
Van melding tot oplossing
Het incident omvat een periode van ruim tien maanden. De tijdlijn van het responsible disclosure-proces liep van 14 oktober vorig jaar tot gisteren (18 augustus), toen Zveare via een blogpost zijn ontdekkingen in detail duidde. Alle bevindingen werden via de juiste kanalen bij Intel gemeld, en het bedrijf heeft de kwetsbaarheden inmiddels opgelost.
Opvallend genoeg bleef een beloning voor de ontdekkingen achterwege. Intel’s bugbountyprogramma sluit interne websites uit van beloningen, ondanks de ernst van de bevindingen.
Vier gateways naar werknemersdata
Het lek betrof toegang tot verschillende portalsites van Intel, waaronder systemen voor personeelszaken en externe partners. De visitekaartjes-website van Intel India was bijzonder kwetsbaar door een eenvoudig te omzeilen bedrijfslogin.
Naast deze interne site voor visitekaartjes identificeerde Zveare drie andere ingangen. De interne portals voor “product hierarchy” en “product onboarding” lieten eveneens werknemersdata doorlekken. SEIMS, een extern platform voor informatie-uitwisseling tussen Intel en toeleveranciers over intellectueel eigendom, vormde de vierde route.
De veiligheidsproblemen varieerden van het omzeilen van Microsoft Azure-logins tot ingebakken inlogreferenties die relatief eenvoudig te ontsleutelen waren, zo beschrijft de onderzoeker.
Uiteindelijk ontving Zveare slechts één e-mail van Intel. Inmiddels heeft het bedrijf wel haar bug bounty-programma uitgebreid, maar daar kan deze securityonderzoeker niet via deze ontdekkingen van profiteren.
Lees ook: Lab meldde datalek baarmoederhalskankertest pas maand later