今週、ある研究者が複数の脆弱性の詳細を公開し、それによりインテル従業員の情報へアクセスできたことを明らかにしました。
セキュリティ研究者のイートン・ズヴェアレ氏は、2024年第4四半期にこれらの脆弱性を発見し、その時点でインテルによって修正されました。
ズヴェアレ氏は当初、インテル・インディアの従業員が名刺を注文できるように設計された社内ウェブサイトで、認証をバイパスできる脆弱性を発見しました。
「このウェブサイトの本来の目的は、インテル・インディアの従業員が従業員リストから自分の名前を見つけ、そのデータに基づいて名刺を作成することです」と研究者は説明しています。
このサイトはインテル・インディアの業務に関連していましたが、ズヴェアレ氏は世界中のインテル従業員の情報がデータベースに保存されていることを発見しました。さらに分析したところ、攻撃者がすべてのインテル従業員の詳細情報をダウンロードできた可能性があることが判明しました。
漏洩した情報には、氏名、メールアドレス、電話番号、役職が含まれていました。社会保障番号や給与データなど、より機密性の高い情報は含まれていなかったと研究者は述べています。
ズヴェアレ氏はその後、管理者権限を与えるハードコードされた認証情報により、すべてのインテル従業員の詳細が漏洩していた他の2つの社内ウェブサイトも発見しました。これらのサイトは、アプリケーションへの製品追加や製品グループの整理のために設計されていました。
さらに4つ目のインテル社内ウェブサイト(サプライヤーデータ管理用)も、認証バイパスの脆弱性があり、これを悪用することで全従業員の詳細情報だけでなく、「インテルのサプライヤーに関する大量の機密情報」も取得できた可能性があることが判明しました。
広告。スクロールして記事の続きをお読みください。
研究者によると、これらのウェブサイトは27万人のインテル従業員および作業者の情報を漏洩していました。
SecurityWeekの問い合わせに対し、インテルは自社データへの侵害、データ漏洩、または不正アクセスはなかったと指摘しました。
「2024年10月、外部のセキュリティ研究者から複数のポータルに影響を与える脆弱性の報告がありました。通知を受けて直ちに是正措置を講じ、当時速やかに完全な修正を完了しました」とインテルの広報担当者は述べています。「インテルは、顧客および従業員のシステムと情報を保護するため、セキュリティ対策の継続的な評価と強化に引き続き取り組んでいます。」
ズヴェアレ氏がインテルに調査結果を報告した時点では、これらの種類の社内ウェブサイトは同社のバグバウンティプログラムの対象外でした。しかし、その後インテルは同プログラムを拡大し、クラウドサービスやSaaSプラットフォームも対象とし、最大5,000ドルの報奨金を提供しています。
翻訳元: https://www.securityweek.com/intel-employee-data-exposed-by-vulnerabilities/