個案背景與事件概述
2025 年 8 月 20 日,安全新聞平台 SecurityWeek 報導指出,研究人員發現數個 Intel 內部網站存在重大資安漏洞,導致約 270,000 名 Intel 員工及供應商的資料洩漏。該事件涉及多個內部服務,包括員工名片訂製系統、產品管理網站及供應商資料管理平台,其漏洞形式包括繞過驗證機制與使用硬編碼憑證。
漏洞詳細分析
- 驗證繞過漏洞:研究者 Eaton Zveare 首先在 Intel India 的內部名片訂製網站發現驗證繞過問題,該網站本只用於名片編輯,卻保存了全球員工資料,攻擊者可輕易獲取員工姓名、電子郵件、電話與職位。
- 硬編碼憑證漏洞:在「產品層級」、「產品登錄」等網站中,存在可供管理者使用的硬編碼憑證,很容易被破解來取得系統管理權限,從而全面下載員工資料。
- 供應商管理平台漏洞:Intel 的供應商資料管理平台(SEIMS)也出現身份繞過,可取得員工資訊及供應商的機密資料。
影響範圍與資安風險
- 資料範圍與敏感性:外洩資訊涵蓋全球約 27 萬名員工與供應商,包括姓名、電子郵件、電話號碼與職位等。雖無 SSN 或薪資等高度敏感數據,但足以成為社交工程、網絡釣魚與定向攻擊的入口。
- 攻擊面廣泛性:不同的網站入口漏洞相互獨立且重疊,使攻擊者有多條入侵通道,這種多重影響面提升了整體風險。
控制措施失效原因分析
從事件細節來看,Intel 的內部資安控制措施在多個面向均出現缺口:
驗證與授權機制薄弱
硬編碼憑證與憑證管理不足
漏洞獎勵範疇不足
監控與稽核不足
研究人員的披露與 Intel 的應對
- 披露流程:研究人員於 2024 年第四季發現漏洞,並於 2025 年初向 Intel 透過負責任揭露流程報告,Intel 隨即進行修補,並於今年 2 月底完成全面整改。
- Bug Bounty 計畫缺席:儘管理由內部訪問而非外部公開網站,但 Intel 的 bug bounty 計畫未涵蓋此類漏洞,研究者未能獲得任何獎勵,僅收到一封自動回覆郵件。
- 企業聲明:Intel 官方表示,在接獲漏洞通報後,已進行整改;並強調公司致力於持續強化資安防護,保護員工與客戶資料。
事前預警監控參數
若要在事前偵測並降低事件發生的風險,組織應考慮以下監控與偵測指標:
存取行為監控
異常流量閾值:監測單一帳號在短時間內存取或下載大量員工資料。
地理位置異常:偵測員工帳號從異常 IP 或國家地區登入內部系統。
存取模式偏差:偵測使用者是否在非工作時間或異常頻率下存取敏感系統。
驗證與憑證安全
應用層安全監測
使用者行為分析(UEBA)
預警分級機制
低級警告:異常登入或小規模存取偏差。
中級警告:單一帳號嘗試批次下載員工名單。
高級警告:管理憑證異常使用或敏感系統遭批次查詢。
措施回顧與建議
強化內部資安驗證機制:嚴格設定內部網站的存取控制,並避免使用硬編碼憑證,必要時採用動態憑證或多因素驗證。
擴大漏洞獎勵範圍:建議 Intel 將內部網站納入 bug bounty 計畫範疇,鼓勵研究人員揭露內部漏洞。
持續資安稽核與自動化防護:定期進行內部資安稽核、脆弱度掃描與滲透測試,並導入自動化防護工具強化防線。
- 資安意識與內部通報機制:提升資安意識,對內部系統開展資安教育與通報訓練,鼓勵內部人員主動通報疑慮。
- 資訊分類與存取管理:嚴格區分系統與資料分類,限制一般員工只能存取經授權的必要資料,降低風險面。
結論
此 Intel 員工資料外洩事件透過系統性漏洞展現了內部資安管理的重要性。儘管外洩資訊未包含高度敏感資料,但其規模與風險不容忽視。未來 Intel 應強化內部資安控管,落實漏洞揭露機制並加強教育訓練,才能有效防止類似事件重演。
參考資料
英特爾已修補這些漏洞,並表示並無未經授權的存取或資料外洩。