IT服务和咨询公司Hindustan计算机有限公司(HCL)通过多个子域上托管的可公开访问的页面和Web界面暴露了大量的员工和商业信息。
HCL科技已经在31个国家的跨产业的上下游间提供服务,包括航空与国防、能源与公用事业、独立软件供应商、专业制造、专业服务,服务器和存储、汽车、金融服务、工业制造、媒体娱乐、零售及消费服务、电信、消费电子、医疗器械、半导体、旅游、运输和物流等[ 1,2 ]。
根据UpGuard的说法,暴露的公共数据“包括新员工的个人信息和明文密码,客户基础设施安装报告以及管理人员的Web应用程序。”
暴露的人力资源管理系统
暴露的数据最初是由UpGuard的研究团队在5月1日发现的,当时在HCL域中检测到一个可免费下载的包含客户关键字的文档,随后发现了“其他可公开访问的页面,其中包含个人和商业数据”。
由于包含泄露数据的页面托管在多个HCL子域上,并且只能通过Web界面访问,研究人员仅在5天后就完成了对泄露信息的分析。
在进一步分析泄露的信息后,UpGuard发现了一个管理面板,用于管理新员工的人事记录,共有364条记录。
最古老的是从2013年开始,但是2019年有超过200条记录。事实上,其中54条记录是2019年5月6日加入的。暴露的数据包括候选人ID,姓名,手机号码,加入日期,加入地点,招聘人员SAP代码,招聘人员姓名,创建日期,用户名,明文密码,BGV状态,已接受的offer以及候选人表格的链接。在这些数据点中,最明显的风险是密码,可能被用于访问这些员工可以访问的其他HCL系统。
研究人员在其他不需要身份验证的页面上发现了更多泄露信息,包括“超过2,800名员工的名称和SAP代码”以及“可以使用SAP代码和名称查找和'停用'员工”使用SmartManage报告系统管理的客户安装报告和项目数据。
暴露的数据并没有就此停止。UpGuard还发掘了一份内部分析报告数据库,其中列出了5700条事件记录,每周客户报告包含大约18,000个条目,以及可追溯到2016年的安装报告。
公开的SmartManage报告系统
UpGuard发送了一份通知,详细说明泄露数据的性质,两个可公开访问的页面,以及一个包含子域名的列表,这些子域名向HCL的数据保护官员公开了业务信息,但没有得到任何回复。
第二天,也就是5月7日,UpGuard的团队发现尽管数据泄漏通知中的的两个页面现在都是安全的并且访问需要身份验证,所有其他没有包含在通知中的页面仍然没有受到保护。
“该分析师发送了一封后续电子邮件,其中包含与HCL数据相关的其他页面,并且在第二天,即5月8日,分析师确认匿名用户也无法访问这些页面,”UpGuard说。
SmartManage报告
虽然HCL没有与报告数据泄漏的公司建立任何形式的沟通渠道,但UpGuard报告得出的结论是“企业领导人也应该注意到HCL响应的有效性。”
虽然HCL没有回复数据泄露通知,但它“说明了如何向他们报告泄露情况并迅速采取补救措施。在一个不可避免的数据丢失的世界中,像这样的有效事件响应是至关重要的能力。”
BleepingComputer还与HCL达成了正式声明,但在本文发布时尚未收到回复。
本文转载自白帽汇
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.