英特爾網站資安漏洞,27 萬筆員工資料與機密報告外洩
在最近的安全研究中,資安人員 Eaton Zvveare 揭露了英特爾(Intel)網路基礎設施中的重大漏洞,這些漏洞導致超過 27 萬名員工及供應商的個人資料洩露。Zvveare 的調查始於去年秋季,他發現英特爾的一個內部網站存在認證漏洞,這使他能夠輕易地獲取大量敏感數據,包括員工姓名、職位、電話號碼、電子郵件地址,以及機密產品報告和保密協議(NDA)等文件。
Zvveare指出,英特爾的網站安全性明顯不足,尤其是在其「產品層級管理」和「產品上線」網站中,這些網站使用了不當的客戶端加密和硬編碼的憑證,讓他能夠訪問標記為「英特爾機密」的內部平台。更糟的是,他還發現了一個GitHub的個人訪問Token,這可能允許他在內部資料庫中創建不當的產品。
在發現這些漏洞後,Zvveare於去年10月14日首次通知英特爾,卻收到自動回覆表示該類網站漏洞不屬於該公司漏洞獎勵計畫範圍。隨後,他在10月29日和11月12日繼續回報更多漏洞。英特爾直至今年2月28日修正漏洞,並於今年8月18日公開完整報告。英特爾的發言人表示,該公司在去年10月已經對這些漏洞進行修復,並強調將持續加強其安全措施。
Zvveare對英特爾未能將網站漏洞納入獎勵計畫表示驚訝,並指出這些漏洞可能會對公司造成嚴重影響。他建議,所有公司都應擴展安全審查範圍,確保內部網站的安全性,並避免在客戶端代碼中使用硬編碼的憑證和Token。Zvveare的完整報告已在其個人網站上發布,並確認所有報告的漏洞在發布前均已修復。
Intel ghosts researcher who found web apps spilled 270K staff records
Massive Intel data exposure: hacker harvests 270K employee data, gets a “thanks” for disclosure
(首圖來源:Flickr/Yuri Samoilov CC BY 2.0)