Der Sicherheitsforscher Eaton Zveare meldete kürzlich, dass mindestens vier interne Websysteme des Chip-Herstellers Intel nicht ausreichend abgesichert waren. Dem Experten zufolge ermöglichten mehrere Schwachstellen, das weltweite Mitarbeiterverzeichnis zu kopieren. In manchen Fällen konnten sogar Zugriffe über Admin-Rechte erlangt werden.

Das erste von Zveare entdeckte Sicherheitsproblem betraf eine Plattform, über die Intel-Mitarbeiter in Indien Visitenkarten bestellen konnten. Durch einen kleinen Eingriff in den Javascript-Code ist es dem Forscher gelungen, der Anwendung vorzugaukeln, dass er eingeloggt sei. Auf diese Weise erhielt er Zugriff auf die Daten von mehr als 270.000 Mitarbeitern des Unternehmens. Diese waren jedoch nicht auf indische Angestellte beschränkt.

Der Security-Spezialist wurde zudem auf eine sogenannte Worker-API aufmerksam, über die er weitere Details abfragen konnte. Diese legte Daten wie Name, Position, Telefonnummer und E-Mail-Adresse offen. Durch eine kleine Abwandlung seiner Anfrage konnte er mit Curl sogar die Daten aller Intel-Mitarbeiter auf einmal herunterladen. Die Rede ist von einer JSON-Datei mit einer Größe von fast einem Gigabyte.

Schlecht geschützte Passwörter

Darüber hinaus nahm sich Zveare noch drei weitere Intel-Plattformen vor. Die erste läuft unter dem Namen Product Hierarchy. Die Anwendung soll Intel bei der internen Organisation von Produktgruppen und Eigentumsverhältnissen unterstützen. Der Forscher fand im clientseitigen Code des Systems fest kodierte Zugangsdaten, mit denen er erneut Intels Worker-API abfragen konnte.

Das Passwort sei zwar verschlüsselt, aber der Schlüssel sei ebenso clientseitig verfügbar gewesen, so dass es sich leicht entschlüsseln ließ, heißt es im Forschungsbericht. Anschließend entdeckte der Forscher noch weitere fest kodierte Anmeldedaten – unter anderem solche für ein Admin-Konto für den Backend-Service der Anwendung.

Lesetipp: Logins absichern: Passwörter richtig schützen

Zveare stellte fest, dass es auf einer weiteren Plattform namens Product Onboarding ein ähnliches Problem gab. Das Tool wird für den Upload von Daten in Intels Produktdatenbank Ark (Automated Relational Knowledgebase) verwendet.

Bei der Lieferantenplattform namens Seims (Supplier EHS IP Management System) gab es laut Zveare zwar keine fest kodierten Zugangsdaten, jedoch ebenfalls eine Möglichkeit die Anmeldung zu umgehen. Dadurch erhielt der Forscher unter anderem Zugriff auf eine API, die ihm unter Angabe einer Mitarbeiter-ID die zugehörigen persönlichen Daten ausgab. “Da die Mitarbeiter-IDs von Intel fortlaufend sind, wäre es ein Kinderspiel, die Daten aller Mitarbeiter abzugreifen”, erklärt er in seinem Beitrag. Zudem konnte er auch vertrauliche Informationen über die Lieferanten von Intel einsehen.

Zveare hat Intel bereits im Herbst 2024 über die Schwachstellen informiert. Das Unternehmen hatte daraufhin sämtliche Sicherheitslücken innerhalb von 90 Tagen geschlossen.