'Inloglekken op Intel-sites gaven toegang tot gegevens van al het personeel'

Intel zou zijn getroffen door een datalek waarbij wereldwijd personeelsgegevens van zeker 270.000 medewerkers toegankelijk waren via interne portalsites. Dit was mogelijk door verschillende kwetsbaarheden, zoals eenvoudig te omzeilen logins en ingebakken inlogreferenties.

Securityonderzoeker Eaton Zveare claimt in een uitgebreide blogpost toegang te hebben tot informatie over Intel-medewerkers wereldwijd. Dit gebeurde via verschillende portalsites van Intel, waaronder sites voor personeelszaken en voor externe partners. De bedrijfslog-in voor een website van Intel India om visitekaartjes te bestellen zou eenvoudig te omzeilen zijn geweest, waarna gegevens over zeker 270.000 werknemers konden worden gedownload.

Daarnaast zouden er nog drie andere manieren zijn geweest, via drie andere interne Intel-websites, om werknemersinformatie te downloaden. Behalve de interne site voor visitekaartjes betreft dit de interne sites voor 'product hierarchy' en 'product onboarding', plus de extern gerichte leverancierssite SEIMS. Laatstgenoemde is een uitwisselingsplatform voor informatie van Intel en toeleveranciers over intellectueel eigendom op het gebied van veiligheid, gezondheid en milieu.

Deze geclaimde datalekken zijn bij Intel gemeld, waarna het bedrijf deze kwetsbaarheden heeft opgelost, meldt de Amerikaanse securityonderzoeker in zijn blogpost. De geclaimde ontdekkingen komen niet in aanmerking voor een beloning, schrijft hij, omdat Intels bugbountyprogramma interne websites uitsluit. De tijdlijn voor deze datalekken en het verantwoord melden ervan liep van 14 oktober vorig jaar tot 18 augustus dit jaar. Tweakers heeft vragen over deze kwestie uitgezet bij Zveare en bij Intel.

In de nu gepubliceerde blogpost geeft de securityonderzoeker details over de vier datalekkende websites en de gebreken waardoor ongeautoriseerde gebruikers toegang konden krijgen tot informatie over Intel-werknemers. Daarbij zou het mogelijk zijn geweest om de inlog op Microsoft Azure te omzeilen en zou er ook sprake zijn geweest van ingebakken inlogreferenties die eenvoudig te ontsleutelen waren.

Door Jasper Bakker

Nieuwsredacteur

Feedback • 19-08-2025 11:20 16

19-08-2025 • 11:20

16

Lees meer

Intel bevestigt kwetsbaarheden in interne portals na melding onderzoeker
Intel bevestigt kwetsbaarheden in interne portals na melding onderzoeker Nieuws van 21 augustus 2025
HR-platform Workday meldt datalek van zakelijke gegevens na cyberaanval
HR-platform Workday meldt datalek van zakelijke gegevens na cyberaanval Nieuws van 18 augustus 2025
'Nova kreeg aanbod van ruim een miljoen euro voor gestolen patiëntgegevens'
'Nova kreeg aanbod van ruim een miljoen euro voor gestolen patiëntgegevens' Nieuws van 18 augustus 2025
KLM meldt datalek waarbij namen en contactgegevens van klanten zijn buitgemaakt
KLM meldt datalek waarbij namen en contactgegevens van klanten zijn buitgemaakt Nieuws van 6 augustus 2025
Meer producten en artikelen
Bedrijfsnieuws Websites en community's Politiek en recht Privacy Intel Datalek Inloggen Personeel Portal

Reacties (16)

-Moderatie-faq
16
16
14
0
0
1
Wijzig sortering
Toxic_Dreams 19 augustus 2025 13:40
De blog post doorgelezen, maar dit is toch best bizar dat alle authenticatie gewoon te omzeilen is?

Tokens aanvragen zonder rechten, geen server controle op of de token geldig is, dat soort zaken moeten er met code reviews toch uitgefilterd worden.
Reageer
goarilla @Toxic_Dreams19 augustus 2025 14:00
Inderdaad. Ik ben geen (web)ontwikkelaar maar Jezus: idd tokens aanvragen door client side js te veranderen, plain text passwoorden in code comments en AES decryptiesleutels die niet alleen publiek zijn maar ook nog heel simpel: het hexadecimaal alfabet 2 keer aan elkaar geplakt. Dit is toch echt prutswerk.
Reageer
Blokker_1999
@Toxic_Dreams19 augustus 2025 14:03
Dit is letterlijk schering en inslag. Ken zo wel meer verhalen. Betaal je externe developers veel geld voor het bouwen van een portaal, neem je in de opdracht expliciet mee dat het getest moet zijn door pentesters, laat je er zelf daarna ook een pentester op los en die hangen binnen de 10 minuten aan je telefoon om te melden dat de beveiliging volledig te bypassen is.

Ik wil niet weten hoeveel er zo zijn. Security is een mindset, en bij velen ontbreekt die spijtig genoeg. Hier ook, als ik de blogpost in detail lees en ik zie daar staan dat er hard coded credentials inzitten, dat checks client side worden uitgevoerd, dan kan ik alleen maar denken dat dit weer developers zijn geweest die zich er eenvoudig en/of goedkoop van af wensten te maken. Niemand die het ziet, weet je wel.
Reageer
hackerhater @Toxic_Dreams19 augustus 2025 15:22
Dit is inderdaad bizar slecht. Als je niet door de authenticatie heen bent gekomen zou dat moeten resulteren dat je nergens bij mag.
ipv ineens alles.
Reageer
Tao-lee 19 augustus 2025 11:39
Ik vind het niet zo netjes van Intel dat Eaton Zveare geen beloning heeft gekregen, als het een random hack was geweest dan had Intel waarschijnlijk voor betaald.
Reageer
Davy de Vries @Tao-lee19 augustus 2025 11:44
En dan gek opkijken als ethische hackers overlopen. 🤷🏻‍♂️
Reageer
Blokker_1999
@Davy de Vries19 augustus 2025 12:02
Hoewel een bounty mooi is, is dat zeker niet de reden waarom mensen het melden. Maar wat ik wel spijtig vind is het gebrek aan communicatie vanuit Intel. Enkel 1 automatische email dat ze je mail hebben ontvangen. Dat is het. Als je effectief iets vindt, dan is een persoonlijk bedankje en een beetje feedback echt geen overbodige luxe.
Reageer
ShadowBumble @Blokker_199919 augustus 2025 12:07
Helaas is dat bij een deel van de researchers de enige motivatie en ook de enige reden waarom ze het doen.

Hoe vaak ik de afgelopen jaren blogs of posts op X heb gezien met “dit is een belachelijke bounty want het is een miljoenen bedrijf dus ik wil ook x bedrag” of ze willen niet betalen dus hier is de blog van de vulnerability zijn allang niet meer te tellen op 10 handen.

[Reactie gewijzigd door ShadowBumble op 19 augustus 2025 12:54]

Reageer
bwerg @ShadowBumble19 augustus 2025 12:32
Hoe heb je op basis van die blogs of posts bepaald dat die blogs of posts ook het standpunt van "het overgrote deel van de researchers" vertegenwoordigd? Is daarover kwantitatief onderzoek beschikbaar?

Als die blogs of posts je enige onderbouwing zijn voor die stelling is dat nogal een stropopredenering. Dat er hackers bestaan die eikels zijn is niet echt een reden om niet netjes om te gaan met hackers/security-onderzoekers in het algemeen, en vooral niet diegenen die een bedrijf gewoon nuttige en belangrijke bevindingen verstrekken.

De enige reactie van Intel was een auto-response. Niet echt netjes.
Reageer
ShadowBumble @bwerg19 augustus 2025 13:12
Hoe heb je op basis van die blogs of posts bepaald dat die blogs of posts ook het standpunt van "het overgrote deel van de researchers" vertegenwoordigd? Is daarover kwantitatief onderzoek beschikbaar?

Als die blogs of posts je enige onderbouwing zijn voor die stelling is dat nogal een stropopredenering. Dat er hackers bestaan die eikels zijn is niet echt een reden om niet netjes om te gaan met hackers/security-onderzoekers in het algemeen, en vooral niet diegenen die een bedrijf gewoon nuttige en belangrijke bevindingen verstrekken.

De enige reactie van Intel was een auto-response. Niet echt netjes.
Mijn reactie sluit aan op de opmerking "is dat zeker niet de reden waarom mensen het melden." Wat helaas vaak wel een reden is, als je een CVD of BBP hebt lopen kan je dat inderdaad meetbaar maken, als er geen beloning tegenoverstaat in monitaire vorm of goodie vorm zie je dat je responses en participate van researchers drastisch afneemt ten opzichte van scopes waar wel een beloning tegenoverstaat.

Ik begrijp dat "het overgrote deel van de researchers" misschien een verkeerde gevoelsmatige maatstaaf dan kan zijn en misschien voel je jezelf er wel door aangesproken, daarom heb ik de text aangepast naar "een deel".

Dat je van een organisatie als Intel meer mag verwachten als een automatische reacte stel ik niet ter discussie dat mag je in deze tijd wel verwachten maar is vaak helaas wel de werkelijkheid.

Wat betreft de reactie van Intel je kan het er mee eens zijn of niet (Ik persoonlijk vind het niet kunnen) maar in de reactie van Intel staat letterlijk "This is not part of the Bug Bounty Program, no other response or certificate will be sent out beyond this notification". Dan kan je nog wel 5 followups gaan sturen maar de initiele response mail was duidelijk, en ja dan zou ik het ook publishen maar als je de blog leest merk je wel sterk dat er een bepaalde toon in zit dat er geen bounty in zit terwijl er voor hardware vulnerbilities tot 100k wordt uitgekeerd.
Reageer
orvintax @ShadowBumble19 augustus 2025 21:59
Helaas is dat bij een deel van de researchers de enige motivatie en ook de enige reden waarom ze het doen.
Helaas? Vind jij het jammer dat mensen geld willen voor hun werk?
Reageer
ShadowBumble @orvintax20 augustus 2025 08:24
[...]

Helaas? Vind jij het jammer dat mensen geld willen voor hun werk?
Lees anders even de reactie waarop ik reageer, dan wordt het wat duidelijker en zal je zien dat ik helemaal niet aangeef dat het jammer is dat mensen geld voor hun werk willen. Ik geef helaas aan omdat dat juist wel een motivatie is voor mensen om dit soort dingen aan te geven.
Reageer
Skit3000 @Davy de Vries19 augustus 2025 13:38
Mwah, ik heb (denk ik) de meest impactvolle softwarefout uit de Nederlandse geschiedenis gevonden en had er niet eens een t-shirt voor willen krijgen.
Reageer
goarilla @Tao-lee19 augustus 2025 11:59
Ja en de reden is een lam excuus om de "dick-move" goed te praten. En dan de tijdslijn 14/10/2024 tot 18/08/2025. Dat is toch erg lang. Kudos aan Eaton Zveare om de lippen zo lang stijf te kunnen houden.
Reageer
Blokker_1999
@goarilla19 augustus 2025 12:04
Je moet de tijdlijn in meer detail bekijken in de blogpost.

Zijn laatste melding aan Intel dateert van 2 December en op 28 Februari heeft hij vastgesteld dat alle problemen zijn opgelost en Intel ingelicht dat hij hierover een blogpost ging schrijven. Nog altijd niet supersnel, maar sneller dan de 10 maanden die hier in het nieuwsartikel staan.
Reageer
goarilla @Blokker_199919 augustus 2025 13:06
Goed idee, ben ermee bezig:
It seemed that the API was responding with more data than these apps can handle. I tried curl instead and it gave me a nearly 1 GB JSON file. This file contained the details of every Intel employee. Through 1 API request, I just exfiltrated a wealth of detailed information:
Wow !

[Reactie gewijzigd door goarilla op 19 augustus 2025 13:09]

Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq