Via een interne website van chipgigant Intel voor het aanvragen van visitekaartjes was het mogelijk om de gegevens van 270.000 medewerkers wereldwijd te downloaden, zo stelt beveiligingsonderzoeker Eaton Zveare die het probleem ontdekte en rapporteerde. De toegankelijke data bestond uit onder andere naam, functie, manager, telefoonnummer en e-mailadres. Intel heeft het probleem inmiddels opgelost.

Intel India biedt medewerkers de mogelijkheid om online visitekaartjes voor zichzelf aan te vragen. Hiervoor moeten medewerkers eerst inloggen op een Intel-portal. Zveare ontdekte dat het mogelijk was om de authenticatie van deze portaal, door het aanpassen van een functie, te omzeilen en de applicatie te laten geloven dat hij was ingelogd.

Eenmaal "ingelogd" op de visitekaartjes-website zag de onderzoeker dat die de mogelijkheid biedt om op Intel-medewerkers wereldwijd te zoeken. De website maakt hiervoor gebruik van een geauthenticeerde API (application programming interface), maar Zveare wist het vereiste authenticatie-token via een eerder request te verkrijgen. "Wat opviel was het feit dat het allemaal werkte zonder dat ik echt was ingelogd. De reden is dat de getAccessToken API ongeauthenticeerd was. Je kon het token als anonieme gebruiker opvragen en dan voor geauthenticeerde API requests gebruiken."

De onderzoeker merkt op dat hij via deze kwetsbaarheid een één gigabyte groot JSON-bestand kon downloaden met daarin de gegevens van bijna alle Intel-medewerkers. Naast de website voor visitekaartjes vond de onderzoeker ook nog verschillende andere Intel-sites waar het mogelijk was om de medewerkersdatabase te downloaden. Zveare waarschuwde Intel vorig jaar oktober en november, maar kreeg naar eigen zeggen geen reactie van de chipgigant. De gevonden problemen zijn inmiddels wel opgelost.