freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

福布斯全球2000强企业HCL大量员工和商业信息公开暴露
2019-05-22 15:00:34

HCL.jpg

近日,UpGuard研究团队发现位列福布斯全球2000强的IT服务和咨询公司Hindustan计算机有限公司(HCL)存在信息泄露的风险。HCL在多个子域上托管了可公开访问的页面和Web界面,导致大量员工和商业信息公开暴露。

HCL科技是一家印度公司,其客户涵盖福布斯500强中的200多家企业。HCL为大约40个国家的跨产业上下游产业链提供服务,包括IT服务、银行金融、电信、航空与国防、能源与公用事业、汽车、媒体娱乐、零售及消费服务、运输和物流等多个领域。

UpGuard研究团队最早在5月1日就发现了这些安全隐患,当时他们在HCL域中检测到一个可免费下载的文档(包含客户关键字),随后发现了“其他可公开访问的页面,包含个人和商业数据”。暴露的数据“包括新雇员的个人信息和明文密码、客户基础设施安装报告以及管理人员的Web应用程序。”

Exposed HR Management System.jpg

暴露的HCL HR管理系统

UpGuard团队一共花了5天时间对暴露的数据进行分析。他们发现了一个管理面板,用于管理新员工的人事记录,其中公开暴露的共有364条记录。UpGuard的研究报告摘录如下:

记录最早可追溯到2013年。其中,2019年的新纪录超过200条,还有54条记录是2019年5月6日刚加入的。这些数据详情包括应聘者的ID、姓名,手机号码、加入日期、加入地点、招聘人员SAP代码、招聘人员姓名、创建日期、用户名、明文密码、BGV状态、已接受的offer以及应聘申请表的链接。其中,泄露的密码带来的风险最大,可能被用于访问这些员工可以访问的其他HCL系统。

此外,UpGuard的研究人员在其他不需要身份验证的页面上还发现了更多泄露信息:

超过2,800名员工的名称和SAP代码

可以使用SAP代码和名称查找和'停用'员工”的界面

使用SmartManage报告系统管理的客户安装报告和项目数据

一份内部分析报告数据库,包含5700条事件记录、每周客户报告(约18,000个条目)以及可追溯到2016年的安装报告

Exposed SmartManage reporting system.jpg

泄露的SmartManage报告系统

发现HCL存在信息泄露风险之后,UpGuard向HCL的数据保护官发送了预警信息,详细描述了暴露的内容(数据的性质、两个可公开访问的页面、子域名列表)和存在的风险。目前,他们并未收到回复,但是却在5月7日发现预警中提到的两个可公开访问页面已经得到了安全保护,需要有效认证才可访问。但其他没在预警信息中提到的页面仍然处于不安全的状态。

UpGuard团队表示:

团队分析师向HCL补发了一份电子邮件,补充了可能涉及数据泄露的其他页面。到5月8日,他们发现这些页面也设置了访问权限。

SmartManage report index.jpg

SmartManage 报告检索界面

目前,HCL仍未对此事发表公开回复,不过至少及时响应了研究人员的提醒并采取了防护和补救措施。UpGuard认为,HCL及时有效的响应值得其他存在泄露风险的企业学习。

*参考来源:bleepingcomputer,转载请注明来自FreeBuf.COM

# 信息泄露 # HCL
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者