安全動(dòng)態(tài)

福布斯全球2000強(qiáng)企業(yè)HCL大量員工和商業(yè)信息公開(kāi)暴露

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-05-22    瀏覽次數(shù):
 

信息來(lái)源:FreeBuf

HCL.jpg

近日,UpGuard研究團(tuán)隊(duì)發(fā)現(xiàn)位列福布斯全球2000強(qiáng)的IT服務(wù)和咨詢公司Hindustan計(jì)算機(jī)有限公司(HCL)存在信息泄露的風(fēng)險(xiǎn)。HCL在多個(gè)子域上托管了可公開(kāi)訪問(wèn)的頁(yè)面和Web界面,導(dǎo)致大量員工和商業(yè)信息公開(kāi)暴露。

HCL科技是一家印度公司,其客戶涵蓋福布斯500強(qiáng)中的200多家企業(yè)。HCL為大約40個(gè)國(guó)家的跨產(chǎn)業(yè)上下游產(chǎn)業(yè)鏈提供服務(wù),包括IT服務(wù)、銀行金融、電信、航空與國(guó)防、能源與公用事業(yè)、汽車、媒體娛樂(lè)、零售及消費(fèi)服務(wù)、運(yùn)輸和物流等多個(gè)領(lǐng)域。

UpGuard研究團(tuán)隊(duì)最早在5月1日就發(fā)現(xiàn)了這些安全隱患,當(dāng)時(shí)他們?cè)贖CL域中檢測(cè)到一個(gè)可免費(fèi)下載的文檔(包含客戶關(guān)鍵字),隨后發(fā)現(xiàn)了“其他可公開(kāi)訪問(wèn)的頁(yè)面,包含個(gè)人和商業(yè)數(shù)據(jù)”。暴露的數(shù)據(jù)“包括新雇員的個(gè)人信息和明文密碼、客戶基礎(chǔ)設(shè)施安裝報(bào)告以及管理人員的Web應(yīng)用程序?!?

Exposed HR Management System.jpg

暴露的HCL HR管理系統(tǒng)

UpGuard團(tuán)隊(duì)一共花了5天時(shí)間對(duì)暴露的數(shù)據(jù)進(jìn)行分析。他們發(fā)現(xiàn)了一個(gè)管理面板,用于管理新員工的人事記錄,其中公開(kāi)暴露的共有364條記錄。UpGuard的研究報(bào)告摘錄如下:

記錄最早可追溯到2013年。其中,2019年的新紀(jì)錄超過(guò)200條,還有54條記錄是2019年5月6日剛加入的。這些數(shù)據(jù)詳情包括應(yīng)聘者的ID、姓名,手機(jī)號(hào)碼、加入日期、加入地點(diǎn)、招聘人員SAP代碼、招聘人員姓名、創(chuàng)建日期、用戶名、明文密碼、BGV狀態(tài)、已接受的offer以及應(yīng)聘申請(qǐng)表的鏈接。其中,泄露的密碼帶來(lái)的風(fēng)險(xiǎn)最大,可能被用于訪問(wèn)這些員工可以訪問(wèn)的其他HCL系統(tǒng)。

此外,UpGuard的研究人員在其他不需要身份驗(yàn)證的頁(yè)面上還發(fā)現(xiàn)了更多泄露信息:

超過(guò)2,800名員工的名稱和SAP代碼

可以使用SAP代碼和名稱查找和’停用’員工”的界面

使用SmartManage報(bào)告系統(tǒng)管理的客戶安裝報(bào)告和項(xiàng)目數(shù)據(jù)

一份內(nèi)部分析報(bào)告數(shù)據(jù)庫(kù),包含5700條事件記錄、每周客戶報(bào)告(約18,000個(gè)條目)以及可追溯到2016年的安裝報(bào)告

Exposed SmartManage reporting system.jpg

泄露的SmartManage報(bào)告系統(tǒng)

發(fā)現(xiàn)HCL存在信息泄露風(fēng)險(xiǎn)之后,UpGuard向HCL的數(shù)據(jù)保護(hù)官發(fā)送了預(yù)警信息,詳細(xì)描述了暴露的內(nèi)容(數(shù)據(jù)的性質(zhì)、兩個(gè)可公開(kāi)訪問(wèn)的頁(yè)面、子域名列表)和存在的風(fēng)險(xiǎn)。目前,他們并未收到回復(fù),但是卻在5月7日發(fā)現(xiàn)預(yù)警中提到的兩個(gè)可公開(kāi)訪問(wèn)頁(yè)面已經(jīng)得到了安全保護(hù),需要有效認(rèn)證才可訪問(wèn)。但其他沒(méi)在預(yù)警信息中提到的頁(yè)面仍然處于不安全的狀態(tài)。

UpGuard團(tuán)隊(duì)表示:

團(tuán)隊(duì)分析師向HCL補(bǔ)發(fā)了一份電子郵件,補(bǔ)充了可能涉及數(shù)據(jù)泄露的其他頁(yè)面。到5月8日,他們發(fā)現(xiàn)這些頁(yè)面也設(shè)置了訪問(wèn)權(quán)限。

SmartManage report index.jpg

SmartManage 報(bào)告檢索界面

目前,HCL仍未對(duì)此事發(fā)表公開(kāi)回復(fù),不過(guò)至少及時(shí)響應(yīng)了研究人員的提醒并采取了防護(hù)和補(bǔ)救措施。UpGuard認(rèn)為,HCL及時(shí)有效的響應(yīng)值得其他存在泄露風(fēng)險(xiǎn)的企業(yè)學(xué)習(xí)。

 
 

上一篇:人民日?qǐng)?bào):手機(jī)App過(guò)度索取權(quán)限何時(shí)休

下一篇:2019年05月22日 聚銘安全速遞