全世界誰(shuí)最有錢?他們住在哪里�����?手機(jī)號(hào)是什么����?富豪們買了什么��?想必你跟我一樣好奇����。
這些信息很值錢,這些信息也很危險(xiǎn)�����。最近��,富豪們要瑟瑟發(fā)抖了�����。
5月21日據(jù)Forbes報(bào)道�,位列福布斯全球2000強(qiáng)榜單的Hindustan Computers Limited(HCL)在多個(gè)子域上托管的可公開(kāi)訪問(wèn)的頁(yè)面和Web界面暴露了大量的員工和商業(yè)信息。
該公司擁有200多名財(cái)富500強(qiáng)以及600多名來(lái)自福布斯全球2000強(qiáng)名單的重要客戶,這也為其客戶企業(yè)帶來(lái)機(jī)密信息泄露的重大風(fēng)險(xiǎn)�����。
HCL什么鬼�?沒(méi)錯(cuò),上述故事中擔(dān)任“坑貨”公司的原型就是HCL(Hindustan Computers Limited)�。
HCL是一家印度跨國(guó)信息技術(shù)(IT)服務(wù)和咨詢公司,其總部位于北方邦的諾伊達(dá)�����。
其業(yè)務(wù)涉及多個(gè)領(lǐng)域����,包括航空航天和國(guó)防、汽車����、銀行�����、資本市場(chǎng)����、化學(xué)和加工業(yè)�����、消費(fèi)品����、能源和公用事業(yè)��、醫(yī)療保健��、高科技����、工業(yè)制造、保險(xiǎn)�����、生命科學(xué)���、制造業(yè)�����、媒體和娛樂(lè)�����,采礦和自然資源��、石油和天然氣����、零售、電信����、旅游、運(yùn)輸����、物流和酒店等等。
這意味著什么��?HCL內(nèi)部存儲(chǔ)了海量行業(yè)企業(yè)的商業(yè)信息及數(shù)據(jù)���。
HCL內(nèi)部數(shù)據(jù)遭泄露OK�,到這我想你已經(jīng)猜到接下來(lái)要講什么了�����。
根據(jù)安全評(píng)估公司UpGuard的說(shuō)法�,此次HCL暴露的公共數(shù)據(jù)“包括新員工的個(gè)人信息和明文密碼,客戶基礎(chǔ)設(shè)施安裝報(bào)告以及管理人員的Web應(yīng)用程序�。”暴露的HCL人力資源管理系統(tǒng)據(jù)悉,UpGuard的研究團(tuán)隊(duì)在5月1日發(fā)現(xiàn)這些被暴露的數(shù)據(jù)�����,當(dāng)時(shí)在HCL域上檢測(cè)到可免費(fèi)下載并包含客戶關(guān)鍵字的文檔���。
文檔中包含了其他可公開(kāi)訪問(wèn)的頁(yè)面以及個(gè)人和商業(yè)數(shù)據(jù)���。
鑒于包含泄露數(shù)據(jù)的頁(yè)面托管在多個(gè)HCL子域上,并且只能通過(guò)Web界面訪問(wèn)���,研究人員最終決定在五天后才公開(kāi)信息的詳細(xì)分析結(jié)果�。
5月6日��,UpGuard在進(jìn)一步分析泄露的信息后發(fā)現(xiàn)了一個(gè)電子統(tǒng)計(jì)表�����,其用于管理新雇用的共364條人事記錄。
UpGuard研究人員稱����,364天記錄中最古老的可以追溯到2013年。
而直到2019年仍有超過(guò)200條相關(guān)記錄在其中���,這里面有54條記錄是2019年5月6日加入的新員工���。
暴露的SmartManage報(bào)告系統(tǒng)暴露的數(shù)據(jù)包括候選人ID、姓名�、手機(jī)號(hào)碼、加入日期���、加入地點(diǎn)��、招聘人員SAP代碼�、招聘人員姓名���、創(chuàng)建日期��、用戶名�����、明文密碼�����、BGV狀態(tài)����、接受的要約以及候選表格的鏈接�����。
客戶機(jī)密信息“危在旦夕”正如上面所提���,通過(guò)員工通行密碼�����,黑客能夠在HLC的內(nèi)部系統(tǒng)之間“暢游”��。
而最新發(fā)現(xiàn)表明這些風(fēng)險(xiǎn)有極大可能會(huì)波及到其客戶��。
研究人員在其他不需要身份驗(yàn)證的頁(yè)面上發(fā)現(xiàn)了更多泄露信息��,這些信息中有超過(guò)2800名員工的名稱和SAP代碼可以被用于操控HCL內(nèi)部的SmartManage報(bào)告系統(tǒng)查找或執(zhí)行“停用”命令��,以此管理全部客戶的安裝報(bào)告及項(xiàng)目數(shù)據(jù)���。
SmartManage報(bào)告索引UpGuard還發(fā)掘了一份內(nèi)部分析報(bào)告數(shù)據(jù)庫(kù)��,其中列出了超過(guò)5700個(gè)事件記錄����,其中包含了大約18000個(gè)條目記錄了每周的客戶報(bào)告詳細(xì)內(nèi)容����,而最早的安裝報(bào)告甚至可以追溯到2016年。
真高冷��?還是慌����!對(duì)于上述發(fā)現(xiàn),UpGuard向HCL發(fā)送了一份通知并詳細(xì)說(shuō)明了泄露數(shù)據(jù)的性質(zhì)——兩個(gè)可公開(kāi)訪問(wèn)的頁(yè)面����、一個(gè)包含子域名的列表,以及向HCL的數(shù)據(jù)保護(hù)官員公開(kāi)展示其業(yè)務(wù)信息�。
報(bào)告發(fā)送后尚未得到任何回復(fù)。
盡管如此,5月7日UpGuard研究團(tuán)隊(duì)發(fā)現(xiàn)其上報(bào)的數(shù)據(jù)泄露通知的一部分內(nèi)容得到了保護(hù)——發(fā)送的兩個(gè)頁(yè)面目前都需要訪問(wèn)所需的身份驗(yàn)證�,并且相對(duì)安全。
然而���,其他的頁(yè)面則仍然沒(méi)有被“納入”HCL的保護(hù)范圍內(nèi)�。
UpGuard稱:“該研究人員嘗試再次發(fā)送了一封電子郵件���,其中包含與HCL數(shù)據(jù)相關(guān)的其他泄露數(shù)據(jù)的頁(yè)面信息。
截止5月8日晚間�,研究人員驗(yàn)證并確認(rèn)匿名用戶已經(jīng)無(wú)法訪問(wèn)這些頁(yè)面。”該研究人員表示��,雖然HCL沒(méi)有與報(bào)告數(shù)據(jù)泄漏的公司建立任何形式的溝通渠道�,但UpGuard報(bào)告得出的結(jié)論是“HCL的此次泄漏事件應(yīng)該引起商業(yè)領(lǐng)袖們的注意,他們很可能因此被淪為下一個(gè)受害者“��。得知��,HCL似乎準(zhǔn)備聯(lián)合BleepingComputer發(fā)表正式聲明��。但外媒核實(shí)情況后����,截止本文發(fā)布前依舊未收到任何回復(fù)。
