信息來源：FreeBuf

近日，UpGuard研究團(tuán)隊(duì)發(fā)現(xiàn)位列福布斯全球2000強(qiáng)的IT服務(wù)和咨詢公司Hindustan計(jì)算機(jī)有限公司（HCL）存在信息泄露的風(fēng)險(xiǎn)。HCL在多個(gè)子域上托管了可公開訪問的頁面和Web界面，導(dǎo)致大量員工和商業(yè)信息公開暴露。

HCL科技是一家印度公司，其客戶涵蓋福布斯500強(qiáng)中的200多家企業(yè)。HCL為大約40個(gè)國家的跨產(chǎn)業(yè)上下游產(chǎn)業(yè)鏈提供服務(wù)，包括IT服務(wù)、銀行金融、電信、航空與國防、能源與公用事業(yè)、汽車、媒體娛樂、零售及消費(fèi)服務(wù)、運(yùn)輸和物流等多個(gè)領(lǐng)域。

UpGuard研究團(tuán)隊(duì)最早在5月1日就發(fā)現(xiàn)了這些安全隱患，當(dāng)時(shí)他們在HCL域中檢測到一個(gè)可免費(fèi)下載的文檔（包含客戶關(guān)鍵字），隨后發(fā)現(xiàn)了“其他可公開訪問的頁面，包含個(gè)人和商業(yè)數(shù)據(jù)”。暴露的數(shù)據(jù)“包括新雇員的個(gè)人信息和明文密碼、客戶基礎(chǔ)設(shè)施安裝報(bào)告以及管理人員的Web應(yīng)用程序。”

暴露的HCL HR管理系統(tǒng)

UpGuard團(tuán)隊(duì)一共花了5天時(shí)間對暴露的數(shù)據(jù)進(jìn)行分析。他們發(fā)現(xiàn)了一個(gè)管理面板，用于管理新員工的人事記錄，其中公開暴露的共有364條記錄。UpGuard的研究報(bào)告摘錄如下：

記錄最早可追溯到2013年。其中，2019年的新紀(jì)錄超過200條，還有54條記錄是2019年5月6日剛加入的。這些數(shù)據(jù)詳情包括應(yīng)聘者的ID、姓名，手機(jī)號碼、加入日期、加入地點(diǎn)、招聘人員SAP代碼、招聘人員姓名、創(chuàng)建日期、用戶名、明文密碼、BGV狀態(tài)、已接受的offer以及應(yīng)聘申請表的鏈接。其中，泄露的密碼帶來的風(fēng)險(xiǎn)最大，可能被用于訪問這些員工可以訪問的其他HCL系統(tǒng)。

此外，UpGuard的研究人員在其他不需要身份驗(yàn)證的頁面上還發(fā)現(xiàn)了更多泄露信息：

超過2,800名員工的名稱和SAP代碼

可以使用SAP代碼和名稱查找和’停用’員工”的界面

使用SmartManage報(bào)告系統(tǒng)管理的客戶安裝報(bào)告和項(xiàng)目數(shù)據(jù)

一份內(nèi)部分析報(bào)告數(shù)據(jù)庫，包含5700條事件記錄、每周客戶報(bào)告（約18,000個(gè)條目）以及可追溯到2016年的安裝報(bào)告

泄露的SmartManage報(bào)告系統(tǒng)

發(fā)現(xiàn)HCL存在信息泄露風(fēng)險(xiǎn)之后，UpGuard向HCL的數(shù)據(jù)保護(hù)官發(fā)送了預(yù)警信息，詳細(xì)描述了暴露的內(nèi)容（數(shù)據(jù)的性質(zhì)、兩個(gè)可公開訪問的頁面、子域名列表）和存在的風(fēng)險(xiǎn)。目前，他們并未收到回復(fù)，但是卻在5月7日發(fā)現(xiàn)預(yù)警中提到的兩個(gè)可公開訪問頁面已經(jīng)得到了安全保護(hù)，需要有效認(rèn)證才可訪問。但其他沒在預(yù)警信息中提到的頁面仍然處于不安全的狀態(tài)。

UpGuard團(tuán)隊(duì)表示：

團(tuán)隊(duì)分析師向HCL補(bǔ)發(fā)了一份電子郵件，補(bǔ)充了可能涉及數(shù)據(jù)泄露的其他頁面。到5月8日，他們發(fā)現(xiàn)這些頁面也設(shè)置了訪問權(quán)限。

SmartManage 報(bào)告檢索界面

目前，HCL仍未對此事發(fā)表公開回復(fù)，不過至少及時(shí)響應(yīng)了研究人員的提醒并采取了防護(hù)和補(bǔ)救措施。UpGuard認(rèn)為，HCL及時(shí)有效的響應(yīng)值得其他存在泄露風(fēng)險(xiǎn)的企業(yè)學(xué)習(xí)。