Intel Outside: Visitenkarten-Seite verrät Daten aller Intel-Mitarbeiter
Ein unabhängiger Sicherheitsforscher hat ein massives Sicherheitsproblem bei Intel aufgedeckt, durch das sensible Daten von allen rund 270.000 Beschäftigten abrufbar waren. Schwachstelle war eine Webseite zur Bestellung von Visitenkarten.
Die Schwachstelle, von Eaton sarkastisch "Intel Outside" genannt, erlaubte es, die Login-Schranke zu umgehen. Laut seinen Angaben genügte eine Änderung im JavaScript-Code der Seite, um das System glauben zu machen, dass ein Nutzer angemeldet sei. Daraufhin ließ sich eine Programmierschnittstelle (API) ansprechen, die weitreichende Mitarbeiterinformationen preisgab - nicht nur aus Indien, sondern weltweit.
Durch die Entfernung eines simplen URL-Filters gelang es Eaton, eine fast ein Gigabyte große Datei herunterzuladen. Darin waren detaillierte Angaben zu sämtlichen Angestellten, darunter Namen, Positionen, Vorgesetzte, Telefonnummern und auch Postadressen enthalten. "Weit mehr Informationen, als eine Visitenkarten-Seite jemals benötigen würde", kommentierte der Forscher.
Seit Oktober 2024 hatte Eaton seine Erkenntnisse an Intel gemeldet. Rückmeldung erhielt er jedoch lediglich in Form automatisierter Standardmails. Eine Belohnung im Rahmen des Bug-Bounty-Programms erhielt er nicht - formale Ausschlussklauseln verhinderten dies.
Nach eigenen Angaben stellte Intel die Sicherheitslücken bis zum 28. Februar 2025 ab. Erst jetzt veröffentlichte Eaton seinen ausführlichen Bericht. Intel selbst hat sich bislang nicht öffentlich zu den Enthüllungen geäußert.
Siehe auch:
Komplette Beschäftigten-Datenbank
Eaton Z, ein auf Reverse Engineering und Anwendungssicherheit spezialisierter Entwickler, berichtete in einem Blogbeitrag, wie er durch eine simple Manipulation auf der indischen Intel-Website, über die Mitarbeiter des Konzerns Visitenkarten bestellen können, Zugriff auf interne Systeme erhielt.Die Schwachstelle, von Eaton sarkastisch "Intel Outside" genannt, erlaubte es, die Login-Schranke zu umgehen. Laut seinen Angaben genügte eine Änderung im JavaScript-Code der Seite, um das System glauben zu machen, dass ein Nutzer angemeldet sei. Daraufhin ließ sich eine Programmierschnittstelle (API) ansprechen, die weitreichende Mitarbeiterinformationen preisgab - nicht nur aus Indien, sondern weltweit.
Durch die Entfernung eines simplen URL-Filters gelang es Eaton, eine fast ein Gigabyte große Datei herunterzuladen. Darin waren detaillierte Angaben zu sämtlichen Angestellten, darunter Namen, Positionen, Vorgesetzte, Telefonnummern und auch Postadressen enthalten. "Weit mehr Informationen, als eine Visitenkarten-Seite jemals benötigen würde", kommentierte der Forscher.
Noch mehr Lücken
Doch bei diesem einen Fund blieb es nicht. Eaton konnte insgesamt vier interne Intel-Webseiten mit vergleichbaren Schwachstellen ausfindig machen. Auf einer Plattform namens "Product Hierarchy" fand er hartkodierte, leicht entschlüsselbare Zugangsdaten, die sowohl Mitarbeiter- als auch Admin-Zugriffe ermöglichten. Ähnliche Probleme entdeckte er beim "Product Onboarding"-Portal. Zudem ließ sich die Anmeldung auf dem Lieferantenportal SEIMS umgehen - auch hier waren umfangreiche Personaldaten abrufbar.Seit Oktober 2024 hatte Eaton seine Erkenntnisse an Intel gemeldet. Rückmeldung erhielt er jedoch lediglich in Form automatisierter Standardmails. Eine Belohnung im Rahmen des Bug-Bounty-Programms erhielt er nicht - formale Ausschlussklauseln verhinderten dies.
Nach eigenen Angaben stellte Intel die Sicherheitslücken bis zum 28. Februar 2025 ab. Erst jetzt veröffentlichte Eaton seinen ausführlichen Bericht. Intel selbst hat sich bislang nicht öffentlich zu den Enthüllungen geäußert.
Zusammenfassung
- Ein Sicherheitsforscher entdeckte eine gravierende Schwachstelle auf der Intel-Website
- Manipulation der Visitenkarten-Seite ermöglichte den Zugang zu internen Systemen
- Daten von etwa 270.000 Intel-Mitarbeitern weltweit waren kompromittiert
- Durch einfache JavaScript-Änderungen konnten Schutzmechanismen umgangen werden
- Insgesamt vier interne Intel-Webseiten wiesen ähnliche Sicherheitslücken auf
- Intel schloss die Sicherheitslücken bis zum 28. Februar 2025
- Der Sicherheitsforscher erhielt keine Belohnung aus dem Bug-Bounty-Programm
Siehe auch:
Thema:
Intels Aktienkurs in Euro
Intel Core i9-14900K im Preisvergleich
Notebooksbilliger.de 
Galaxus 
Playox.de 
Office-partner.de 
Mindfactory Beliebt im Preisvergleich
- CPUs:
Videos zum Thema
-
Geekom IT15: Leistungsstarker Mini-PC mit Intel-AI-Chip im Test
-
Geekom XT13 Pro 2025 Edition: Leise Neuauflage des Mini-PC im Test
-
Nvidia RTX 5060 unter der Lupe: Mit fünf Budget-CPUs im Härtetest
-
MSI Stealth A18 AI+ & Stealth 18 HX AI: RTX 5000 trifft Intel und AMD
-
Geekom GT1 Mega: Mini-PC im Benchmark- und Spiele-Test
Neue Intel-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- EU-Kommission lässt Initiative zum Schutz älterer Videospiele abblitzen
- Wallpaper Engine: Hintergründe gefährden Steam-Gamer durch Malware
- iPhone Air 2: Apple behebt die zwei größten Mankos des Vorgängers
- 24 Mrd. Datensätze offen im Netz: Riesiges Passwort-Archiv entdeckt
- Top-Tarif im O2-Netz: Jetzt 25 GB 5G dauerhaft für nur 4,99 Euro
- Microsoft Edge erlaubt bald den Login mit einem Google-Konto
- Tim Cook warnt: Preise für Apple-Produkte werden bald deutlich steigen
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon