Ein Security-Forscher Hat Massive Sicherheitslücken dans Webportalen von Intel Aufgedeckt. Teilweise Waren Sensible Daten Offengegt.
Der Sicherheitsforscher Eaton Zveare Meldete Kürzlich, Dass Mindestens Vier Interne WebSysteme des Chip-Hertellers Intel Nicht Ausreichend Abgesichett Waren. Dem Experten Zufolge Ermöglichten Mehrere Schwachstellen, Das Weltweite Mitarbeiterverzeichnis Zu Kopieren. À Manchen Fällen Konnten Sogar Zugriffe über Admin-Rechte Erlangt Werden.
Das erste von zveare entdeckte sicherheitsproblebble betraf eine plattform, über die Intel-mitarbeiter à indien Visitenkarten bessellen konnten. Durch Einen Kleinen Eingriff dans Den Javascript-Code ist es dem Forscher Gelungen, Der Anwendung Vorzugaukeln, dass er eingeloggt sei. Auf diese weeise erhielt er zugriff auf die daten von mehr als 270.000 mitarbeitern des unternehmens. Diese Waren Jedoch Nicht Auf indische Angesttellte Beschränkt.
Der Security-SPEZIALIST WURDE ZUDEM AUF EINE SOGENANNTE WEETH-API AUFMERKSAM, über Die er Weitere Détails Abfragen Konnte. Diese Legte Daten Wie Nom, Position, Telefonnummer und e-Mail-Adresse Offen. Durch Eine Kleine Abwandlung Seiner Anfrage Konnte er Mit Curl SOGAR DIE DATEN ALLER Intel-Mitarbeiter Auf Einmal Herunterladen. Die redest von einer json-datei mit einer größe von fast einem gigabyte.
Schlecht Geschützte Passwörter
Darüber Hinaus Nahm Sich Zveare Noch Drei Weitere Intel-Plattformren Vor. Die erste läuft unter dem namen product hiérarchie. Die anwendung soll Intel bei der internen organisation von produktgruppen und eigentimsverhältnissen Unterstützen. Der Forscher fand im Clientseitigen Code des Systems Fest Kodierte Zugangsdaten, MIT Denen Er Erneut Intels Worker-API Abfragen Konnte.
Das Passwort Sei Zwar Verschlüsselt, Aber der Schlüssel Sei Ebenso Clientseitig Verfügbar Gewesen, So Dass Es Sich Leicht Entschlüsseln ließ, heißt es im Forschungsbericht. Anschließend Entdeckte der Forscher Noch Weitere Fest Kodierte Anmededaten – Unter Anderem Solche Für ein Admin-Konto Für Den Backend-Service Der Anwengung.
Lessepp: Connexion Absern: Passwörter Richtig Schützen
Zveare Stellte Fest, Dass es auf einer weiteren plattform namens produit à bord ein ähnliches problème gab. Das Tool Wird für Den Téléchargez von Daten dans Intels Produktdatenbank Ark (Automated Realing Knowledgebase) Verwendet.
Bei der lierferantenplattform namens seims (fournisseur ehs ip de gestion système) gab es laut zveare zwar keine fest kodierten zugangsdaten, jedoch einefalls eine möglichkeit die anmeldung zu umgehen. Dadurch erhielt der Forscher Unter Anderem Zugriff auf eine api, die ihm unter angabe einer mitarbeiter-id die zugehörigen persönlichen daten ausgab. « Da die Mitarbeiter-ids von Intel Fortlaufend Sind, Wäre es ein Kinderspiel, die daten aller mitarbeiter abzugreifen », erklärt er in Seinem beitrag. Zudem Konnte er auch vertrauliche Informationen über die lieferanten von Intel einsehen.
Zveare hat Intel bereits im Herbst 2024 über die schwachstellen information. Das unternehmen Hatte Daraufhin Sämtliche Sicherheitslücken Innerhalb von 90 Tagen Geschlossen.
