Mijansk786 – shutterstock.com
Der Sicherheitsforscher Eaton Zveare meldete kürzlich, dass mindestens vier interne Websysteme des Chip-Herstellers Intel nicht ausreichend abgesichert waren. Dem Experten zufolge ermöglichten mehrere Schwachstellen, das weltweite Mitarbeiterverzeichnis zu kopieren. In manchen Fällen konnten sogar Zugriffe über Admin-Rechte erlangt werden.
Das erste von Zveare entdeckte Sicherheitsproblem betraf eine Plattform, über die Intel-Mitarbeiter in Indien Visitenkarten bestellen konnten. Durch einen kleinen Eingriff in den Javascript-Code ist es dem Forscher gelungen, der Anwendung vorzugaukeln, dass er eingeloggt sei. Auf diese Weise erhielt er Zugriff auf die Daten von mehr als 270.000 Mitarbeitern des Unternehmens. Diese waren jedoch nicht auf indische Angestellte beschränkt.
Der Safety-Spezialist wurde zudem auf eine sogenannte Employee-API aufmerksam, über die er weitere Particulars abfragen konnte. Diese legte Daten wie Identify, Place, Telefonnummer und E-Mail-Adresse offen. Durch eine kleine Abwandlung seiner Anfrage konnte er mit Curl sogar die Daten aller Intel-Mitarbeiter auf einmal herunterladen. Die Rede ist von einer JSON-Datei mit einer Größe von quick einem Gigabyte.
