'Intel lekte gegevens 270.000 medewerkers via website voor visitekaartjes'

In dit artikel:

Beveiligingsonderzoeker Eaton Zveare ontdekte dat via een interne Intel-website voor het aanvragen van visitekaartjes de persoonsgegevens van circa 270.000 medewerkers wereldwijd down te loaden waren. Door de authenticatie van het Intel India-portaal te omzeilen — hij manipuleerde een functie-aanroep waardoor de site dacht dat hij ingelogd was — kon Zveare een toegangstoken bemachtigen dat bleek te werken voor geauthenticeerde API-aanroepen. Daarmee wist hij een JSON-bestand van ongeveer 1 GB te downloaden met onder meer namen, functies, leidinggevenden, telefoonnummers en e‑mailadressen. Naast de visitekaartjes-site trof hij ook andere Intel-pagina’s die dezelfde database blootgaven. Zveare meldde de kwetsbaarheden vorig jaar oktober/november; Intel heeft de problemen inmiddels verholpen. Dergelijke lekken vergroten het risico op phishing en social engineering binnen grote organisaties.