信息來源:FreeBuf
近日���,UpGuard研究團隊發(fā)現(xiàn)位列福布斯全球2000強的IT服務和咨詢公司Hindustan計算機有限公司(HCL)存在信息泄露的風險。HCL在多個子域上托管了可公開訪問的頁面和Web界面�����,導致大量員工和商業(yè)信息公開暴露����。
HCL科技是一家印度公司,其客戶涵蓋福布斯500強中的200多家企業(yè)����。HCL為大約40個國家的跨產業(yè)上下游產業(yè)鏈提供服務,包括IT服務�、銀行金融、電信�、航空與國防、能源與公用事業(yè)���、汽車��、媒體娛樂����、零售及消費服務�����、運輸和物流等多個領域���。
UpGuard研究團隊最早在5月1日就發(fā)現(xiàn)了這些安全隱患����,當時他們在HCL域中檢測到一個可免費下載的文檔(包含客戶關鍵字)����,隨后發(fā)現(xiàn)了“其他可公開訪問的頁面�,包含個人和商業(yè)數(shù)據(jù)”�����。暴露的數(shù)據(jù)“包括新雇員的個人信息和明文密碼���、客戶基礎設施安裝報告以及管理人員的Web應用程序��?����!?
暴露的HCL HR管理系統(tǒng)
UpGuard團隊一共花了5天時間對暴露的數(shù)據(jù)進行分析�����。他們發(fā)現(xiàn)了一個管理面板�,用于管理新員工的人事記錄����,其中公開暴露的共有364條記錄。UpGuard的研究報告摘錄如下:
記錄最早可追溯到2013年��。其中,2019年的新紀錄超過200條���,還有54條記錄是2019年5月6日剛加入的。這些數(shù)據(jù)詳情包括應聘者的ID����、姓名,手機號碼����、加入日期、加入地點��、招聘人員SAP代碼��、招聘人員姓名��、創(chuàng)建日期�、用戶名、明文密碼�����、BGV狀態(tài)��、已接受的offer以及應聘申請表的鏈接。其中���,泄露的密碼帶來的風險最大���,可能被用于訪問這些員工可以訪問的其他HCL系統(tǒng)。
此外����,UpGuard的研究人員在其他不需要身份驗證的頁面上還發(fā)現(xiàn)了更多泄露信息:
超過2,800名員工的名稱和SAP代碼
可以使用SAP代碼和名稱查找和’停用’員工”的界面
使用SmartManage報告系統(tǒng)管理的客戶安裝報告和項目數(shù)據(jù)
一份內部分析報告數(shù)據(jù)庫,包含5700條事件記錄�、每周客戶報告(約18,000個條目)以及可追溯到2016年的安裝報告
泄露的SmartManage報告系統(tǒng)
發(fā)現(xiàn)HCL存在信息泄露風險之后,UpGuard向HCL的數(shù)據(jù)保護官發(fā)送了預警信息�,詳細描述了暴露的內容(數(shù)據(jù)的性質、兩個可公開訪問的頁面�、子域名列表)和存在的風險。目前�,他們并未收到回復,但是卻在5月7日發(fā)現(xiàn)預警中提到的兩個可公開訪問頁面已經得到了安全保護�,需要有效認證才可訪問。但其他沒在預警信息中提到的頁面仍然處于不安全的狀態(tài)����。
UpGuard團隊表示:
團隊分析師向HCL補發(fā)了一份電子郵件,補充了可能涉及數(shù)據(jù)泄露的其他頁面。到5月8日�����,他們發(fā)現(xiàn)這些頁面也設置了訪問權限�。
SmartManage 報告檢索界面
目前,HCL仍未對此事發(fā)表公開回復����,不過至少及時響應了研究人員的提醒并采取了防護和補救措施���。UpGuard認為���,HCL及時有效的響應值得其他存在泄露風險的企業(yè)學習。
