近日,UpGuard研究团队发现位列福布斯全球2000强的IT服务和咨询公司Hindustan计算机有限公司(HCL)存在信息泄露的风险。HCL在多个子域上托管了可公开访问的页面和Web界面,导致大量员工和商业信息公开暴露。
HCL科技是一家印度公司,其客户涵盖福布斯500强中的200多家企业。HCL为大约40个国家的跨产业上下游产业链提供服务,包括IT服务、银行金融、电信、航空与国防、能源与公用事业、汽车、媒体娱乐、零售及消费服务、运输和物流等多个领域。
UpGuard研究团队最早在5月1日就发现了这些安全隐患,当时他们在HCL域中检测到一个可免费下载的文档(包含客户关键字),随后发现了“其他可公开访问的页面,包含个人和商业数据”。暴露的数据“包括新雇员的个人信息和明文密码、客户基础设施安装报告以及管理人员的Web应用程序。”
暴露的HCL HR管理系统
UpGuard团队一共花了5天时间对暴露的数据进行分析。他们发现了一个管理面板,用于管理新员工的人事记录,其中公开暴露的共有364条记录。UpGuard的研究报告摘录如下:
记录最早可追溯到2013年。其中,2019年的新纪录超过200条,还有54条记录是2019年5月6日刚加入的。这些数据详情包括应聘者的ID、姓名,手机号码、加入日期、加入地点、招聘人员SAP代码、招聘人员姓名、创建日期、用户名、明文密码、BGV状态、已接受的offer以及应聘申请表的链接。其中,泄露的密码带来的风险最大,可能被用于访问这些员工可以访问的其他HCL系统。
此外,UpGuard的研究人员在其他不需要身份验证的页面上还发现了更多泄露信息:
超过2,800名员工的名称和SAP代码
可以使用SAP代码和名称查找和'停用'员工”的界面
使用SmartManage报告系统管理的客户安装报告和项目数据
一份内部分析报告数据库,包含5700条事件记录、每周客户报告(约18,000个条目)以及可追溯到2016年的安装报告
泄露的SmartManage报告系统
发现HCL存在信息泄露风险之后,UpGuard向HCL的数据保护官发送了预警信息,详细描述了暴露的内容(数据的性质、两个可公开访问的页面、子域名列表)和存在的风险。目前,他们并未收到回复,但是却在5月7日发现预警中提到的两个可公开访问页面已经得到了安全保护,需要有效认证才可访问。但其他没在预警信息中提到的页面仍然处于不安全的状态。
UpGuard团队表示:
团队分析师向HCL补发了一份电子邮件,补充了可能涉及数据泄露的其他页面。到5月8日,他们发现这些页面也设置了访问权限。
SmartManage 报告检索界面
目前,HCL仍未对此事发表公开回复,不过至少及时响应了研究人员的提醒并采取了防护和补救措施。UpGuard认为,HCL及时有效的响应值得其他存在泄露风险的企业学习。
*参考来源:bleepingcomputer,转载请注明来自FreeBuf.COM