Intel bevestigt kwetsbaarheden in meerdere van zijn portalsites, waaronder een site waar personeel visitekaartjes kan bestellen en een informatieuitwisselingssite voor partners. De ontdekker heeft Tweakers een toelichting gegeven over het datalek.
Intel bevestigt aan Tweakers dat 'een externe securityonderzoeker een kwetsbaarheid heeft gemeld die meerdere portals raakt'. Deze melding is in oktober vorig jaar gedaan. Intel stelt nu dat het na die notificatie meteen corrigerende actie heeft ondernomen. Het probleem zou kort daarna volledig zijn opgelost, claimt Intel.
Securityonderzoeker Eaton Zveare heeft echter verschillende kwetsbaarheden ontdekt in portalsites van Intel. Daarbij heeft hij vier manieren gevonden om authenticatie te omzeilen. Op sommige sites waren ingebakken inlogreferenties die hij eenvoudig wist te ontsleutelen. Daarna kon hij inloggen en personeelsgegevens downloaden.
Zveare meldt in zijn uitgebreide blogpost dat hij in oktober, november en december meldingen heeft gedaan bij Intel. Een automatische ontvangstbevestiging is de enige reactie die hij heeft gekregen. Eind februari heeft hij Intel geïnformeerd dat hij zijn ontdekkingen ging openbaren. Toen waren meer dan negentig dagen verstreken sinds zijn eerste melding en waren 'alle kwetsbaarheden opgelost'.
De uiteindelijke publicatie van de diverse datalekken in Intels portalsites is pas deze week gebeurd. De securityonderzoeker legt deze vertraging uit in een reactie aan Tweakers. Hij zat toen diep in een andere disclosureprocedure voor een andere securitykwestie. Dat betrof fouten in een portal van een autofabrikant waardoor auto's op afstand waren te ontgrendelen.
Hij heeft daarover een presentatie gehouden op hackersconferentie DEF CON. Dat beveiligingsprobleem en de verantwoorde melding ervan hebben het merendeel van zijn tijd opgeslokt, vertelt Zveare aan Tweakers. Hij besloot daarom de openbaarmaking van de datalekken bij Intel uit te stellen tot na DEF CON. Tot op heden heeft hij verder niets gehoord van Intel, wat hij ook niet meer verwacht.
Het bedrijf geeft geen inhoudelijke reactie op vervolgvragen van Tweakers over de basale beveiligingsfouten in de portalsites, zoals gemakkelijk te omzeilen authenticatie en ingebakken inlogreferenties. Intel stelt dat het 'toegewijd blijft aan de continue evaluatie en versterking van onze securitypraktijken om onze systemen en informatie van onze klanten en werknemers te beschermen'.
Een interne bron stelt wel dat er volgens Intel geen sprake is van een datalek of ongeautoriseerde toegang tot Intel-data. De securityonderzoeker zelf heeft wel toegang gehad tot gegevens van Intel-personeel wereldwijd. Hij meent dat de bewering van 'geen datalek' mogelijk bedoeld is om aan te geven dat niemand anders toegang heeft gehad en dat er geen gegevens publiekelijk zijn uitgelekt.
:strip_exif()/i/2007557970.jpeg?f=fpa)
:strip_exif()/i/2007287718.jpeg?f=fpa)
:strip_exif()/i/1295863875.gif?f=fpa)
:strip_icc():strip_exif()/u/289675/crop6401bf2c85501_cropped.jpg?f=community){kind=small}