福布斯全球2000强企业HCL大量员工和商业信息公开暴露

近日，UpGuard研究团队发现位列福布斯全球2000强的IT服务和咨询公司Hindustan计算机有限公司（HCL）存在信息泄露的风险。HCL在多个子域上托管了可公开访问的页面和Web界面，导致大量员工和商业信息公开暴露。

HCL科技是一家印度公司，其客户涵盖福布斯500强中的200多家企业。HCL为大约40个国家的跨产业上下游产业链提供服务，包括IT服务、银行金融、电信、航空与国防、能源与公用事业、汽车、媒体娱乐、零售及消费服务、运输和物流等多个领域。

UpGuard研究团队最早在5月1日就发现了这些安全隐患，当时他们在HCL域中检测到一个可免费下载的文档（包含客户关键字），随后发现了“其他可公开访问的页面，包含个人和商业数据”。暴露的数据“包括新雇员的个人信息和明文密码、客户基础设施安装报告以及管理人员的Web应用程序。”

暴露的HCL HR管理系统

UpGuard团队一共花了5天时间对暴露的数据进行分析。他们发现了一个管理面板，用于管理新员工的人事记录，其中公开暴露的共有364条记录。UpGuard的研究报告摘录如下：

记录最早可追溯到2013年。其中，2019年的新纪录超过200条，还有54条记录是2019年5月6日刚加入的。这些数据详情包括应聘者的ID、姓名，手机号码、加入日期、加入地点、招聘人员SAP代码、招聘人员姓名、创建日期、用户名、明文密码、BGV状态、已接受的offer以及应聘申请表的链接。其中，泄露的密码带来的风险最大，可能被用于访问这些员工可以访问的其他HCL系统。

此外，UpGuard的研究人员在其他不需要身份验证的页面上还发现了更多泄露信息：

超过2,800名员工的名称和SAP代码 可以使用SAP代码和名称查找和'停用'员工”的界面 使用SmartManage报告系统管理的客户安装报告和项目数据 一份内部分析报告数据库，包含5700条事件记录、每周客户报告（约18,000个条目）以及可追溯到2016年的安装报告

泄露的SmartManage报告系统

发现HCL存在信息泄露风险之后，UpGuard向HCL的数据保护官发送了预警信息，详细描述了暴露的内容（数据的性质、两个可公开访问的页面、子域名列表）和存在的风险。目前，他们并未收到回复，但是却在5月7日发现预警中提到的两个可公开访问页面已经得到了安全保护，需要有效认证才可访问。但其他没在预警信息中提到的页面仍然处于不安全的状态。

UpGuard团队表示：

团队分析师向HCL补发了一份电子邮件，补充了可能涉及数据泄露的其他页面。到5月8日，他们发现这些页面也设置了访问权限。

SmartManage 报告检索界面

目前，HCL仍未对此事发表公开回复，不过至少及时响应了研究人员的提醒并采取了防护和补救措施。UpGuard认为，HCL及时有效的响应值得其他存在泄露风险的企业学习。

*参考来源：bleepingcomputer，转载请注明来自FreeBuf.COM