信息來源:FreeBuf
近日,UpGuard研究團(tuán)隊(duì)發(fā)現(xiàn)位列福布斯全球2000強(qiáng)的IT服務(wù)和咨詢公司Hindustan計(jì)算機(jī)有限公司(HCL)存在信息泄露的風(fēng)險(xiǎn)。HCL在多個子域上托管了可公開訪問的頁面和Web界面,導(dǎo)致大量員工和商業(yè)信息公開暴露。
HCL科技是一家印度公司,其客戶涵蓋福布斯500強(qiáng)中的200多家企業(yè)。HCL為大約40個國家的跨產(chǎn)業(yè)上下游產(chǎn)業(yè)鏈提供服務(wù),包括IT服務(wù)、銀行金融、電信、航空與國防、能源與公用事業(yè)、汽車、媒體娛樂、零售及消費(fèi)服務(wù)、運(yùn)輸和物流等多個領(lǐng)域。
UpGuard研究團(tuán)隊(duì)最早在5月1日就發(fā)現(xiàn)了這些安全隱患,當(dāng)時他們在HCL域中檢測到一個可免費(fèi)下載的文檔(包含客戶關(guān)鍵字),隨后發(fā)現(xiàn)了“其他可公開訪問的頁面,包含個人和商業(yè)數(shù)據(jù)”。暴露的數(shù)據(jù)“包括新雇員的個人信息和明文密碼、客戶基礎(chǔ)設(shè)施安裝報(bào)告以及管理人員的Web應(yīng)用程序?!?
暴露的HCL HR管理系統(tǒng)
UpGuard團(tuán)隊(duì)一共花了5天時間對暴露的數(shù)據(jù)進(jìn)行分析。他們發(fā)現(xiàn)了一個管理面板,用于管理新員工的人事記錄,其中公開暴露的共有364條記錄。UpGuard的研究報(bào)告摘錄如下:
記錄最早可追溯到2013年。其中,2019年的新紀(jì)錄超過200條,還有54條記錄是2019年5月6日剛加入的。這些數(shù)據(jù)詳情包括應(yīng)聘者的ID、姓名,手機(jī)號碼、加入日期、加入地點(diǎn)、招聘人員SAP代碼、招聘人員姓名、創(chuàng)建日期、用戶名、明文密碼、BGV狀態(tài)、已接受的offer以及應(yīng)聘申請表的鏈接。其中,泄露的密碼帶來的風(fēng)險(xiǎn)最大,可能被用于訪問這些員工可以訪問的其他HCL系統(tǒng)。
此外,UpGuard的研究人員在其他不需要身份驗(yàn)證的頁面上還發(fā)現(xiàn)了更多泄露信息:
超過2,800名員工的名稱和SAP代碼
可以使用SAP代碼和名稱查找和’停用’員工”的界面
使用SmartManage報(bào)告系統(tǒng)管理的客戶安裝報(bào)告和項(xiàng)目數(shù)據(jù)
一份內(nèi)部分析報(bào)告數(shù)據(jù)庫,包含5700條事件記錄、每周客戶報(bào)告(約18,000個條目)以及可追溯到2016年的安裝報(bào)告
泄露的SmartManage報(bào)告系統(tǒng)
發(fā)現(xiàn)HCL存在信息泄露風(fēng)險(xiǎn)之后,UpGuard向HCL的數(shù)據(jù)保護(hù)官發(fā)送了預(yù)警信息,詳細(xì)描述了暴露的內(nèi)容(數(shù)據(jù)的性質(zhì)、兩個可公開訪問的頁面、子域名列表)和存在的風(fēng)險(xiǎn)。目前,他們并未收到回復(fù),但是卻在5月7日發(fā)現(xiàn)預(yù)警中提到的兩個可公開訪問頁面已經(jīng)得到了安全保護(hù),需要有效認(rèn)證才可訪問。但其他沒在預(yù)警信息中提到的頁面仍然處于不安全的狀態(tài)。
UpGuard團(tuán)隊(duì)表示:
團(tuán)隊(duì)分析師向HCL補(bǔ)發(fā)了一份電子郵件,補(bǔ)充了可能涉及數(shù)據(jù)泄露的其他頁面。到5月8日,他們發(fā)現(xiàn)這些頁面也設(shè)置了訪問權(quán)限。
SmartManage 報(bào)告檢索界面
目前,HCL仍未對此事發(fā)表公開回復(fù),不過至少及時響應(yīng)了研究人員的提醒并采取了防護(hù)和補(bǔ)救措施。UpGuard認(rèn)為,HCL及時有效的響應(yīng)值得其他存在泄露風(fēng)險(xiǎn)的企業(yè)學(xué)習(xí)。