全世界誰最有錢�����?他們住在哪里�?手機(jī)號是什么?富豪們買了什么?想必你跟我一樣好奇�����。
這些信息很值錢�,這些信息也很危險。最近,富豪們要瑟瑟發(fā)抖了���。
5月21日據(jù)Forbes報道,位列福布斯全球2000強(qiáng)榜單的Hindustan Computers Limited(HCL)在多個子域上托管的可公開訪問的頁面和Web界面暴露了大量的員工和商業(yè)信息。
該公司擁有200多名財(cái)富500強(qiáng)以及600多名來自福布斯全球2000強(qiáng)名單的重要客戶���,這也為其客戶企業(yè)帶來機(jī)密信息泄露的重大風(fēng)險。
HCL什么鬼?沒錯�,上述故事中擔(dān)任“坑貨”公司的原型就是HCL(Hindustan Computers Limited)。
HCL是一家印度跨國信息技術(shù)(IT)服務(wù)和咨詢公司��,其總部位于北方邦的諾伊達(dá)��。
其業(yè)務(wù)涉及多個領(lǐng)域��,包括航空航天和國防、汽車����、銀行�、資本市場��、化學(xué)和加工業(yè)��、消費(fèi)品、能源和公用事業(yè)���、醫(yī)療保健、高科技�����、工業(yè)制造���、保險�����、生命科學(xué)���、制造業(yè)�、媒體和娛樂���,采礦和自然資源���、石油和天然氣��、零售���、電信���、旅游��、運(yùn)輸、物流和酒店等等���。
這意味著什么?HCL內(nèi)部存儲了海量行業(yè)企業(yè)的商業(yè)信息及數(shù)據(jù)�。
HCL內(nèi)部數(shù)據(jù)遭泄露OK���,到這我想你已經(jīng)猜到接下來要講什么了���。
根據(jù)安全評估公司UpGuard的說法����,此次HCL暴露的公共數(shù)據(jù)“包括新員工的個人信息和明文密碼�,客戶基礎(chǔ)設(shè)施安裝報告以及管理人員的Web應(yīng)用程序。”暴露的HCL人力資源管理系統(tǒng)據(jù)悉���,UpGuard的研究團(tuán)隊(duì)在5月1日發(fā)現(xiàn)這些被暴露的數(shù)據(jù),當(dāng)時在HCL域上檢測到可免費(fèi)下載并包含客戶關(guān)鍵字的文檔��。
文檔中包含了其他可公開訪問的頁面以及個人和商業(yè)數(shù)據(jù)���。
鑒于包含泄露數(shù)據(jù)的頁面托管在多個HCL子域上�����,并且只能通過Web界面訪問,研究人員最終決定在五天后才公開信息的詳細(xì)分析結(jié)果。
5月6日���,UpGuard在進(jìn)一步分析泄露的信息后發(fā)現(xiàn)了一個電子統(tǒng)計(jì)表,其用于管理新雇用的共364條人事記錄��。
UpGuard研究人員稱���,364天記錄中最古老的可以追溯到2013年����。
而直到2019年仍有超過200條相關(guān)記錄在其中,這里面有54條記錄是2019年5月6日加入的新員工���。
暴露的SmartManage報告系統(tǒng)暴露的數(shù)據(jù)包括候選人ID、姓名����、手機(jī)號碼�、加入日期�、加入地點(diǎn)、招聘人員SAP代碼、招聘人員姓名、創(chuàng)建日期����、用戶名�����、明文密碼、BGV狀態(tài)、接受的要約以及候選表格的鏈接��。
客戶機(jī)密信息“危在旦夕”正如上面所提�,通過員工通行密碼,黑客能夠在HLC的內(nèi)部系統(tǒng)之間“暢游”。
而最新發(fā)現(xiàn)表明這些風(fēng)險有極大可能會波及到其客戶。
研究人員在其他不需要身份驗(yàn)證的頁面上發(fā)現(xiàn)了更多泄露信息,這些信息中有超過2800名員工的名稱和SAP代碼可以被用于操控HCL內(nèi)部的SmartManage報告系統(tǒng)查找或執(zhí)行“停用”命令���,以此管理全部客戶的安裝報告及項(xiàng)目數(shù)據(jù)。
SmartManage報告索引UpGuard還發(fā)掘了一份內(nèi)部分析報告數(shù)據(jù)庫,其中列出了超過5700個事件記錄,其中包含了大約18000個條目記錄了每周的客戶報告詳細(xì)內(nèi)容�,而最早的安裝報告甚至可以追溯到2016年��。
真高冷�?還是慌!對于上述發(fā)現(xiàn),UpGuard向HCL發(fā)送了一份通知并詳細(xì)說明了泄露數(shù)據(jù)的性質(zhì)——兩個可公開訪問的頁面�、一個包含子域名的列表����,以及向HCL的數(shù)據(jù)保護(hù)官員公開展示其業(yè)務(wù)信息�����。
報告發(fā)送后尚未得到任何回復(fù)���。
盡管如此��,5月7日UpGuard研究團(tuán)隊(duì)發(fā)現(xiàn)其上報的數(shù)據(jù)泄露通知的一部分內(nèi)容得到了保護(hù)——發(fā)送的兩個頁面目前都需要訪問所需的身份驗(yàn)證����,并且相對安全�。
然而,其他的頁面則仍然沒有被“納入”HCL的保護(hù)范圍內(nèi)。
UpGuard稱:“該研究人員嘗試再次發(fā)送了一封電子郵件,其中包含與HCL數(shù)據(jù)相關(guān)的其他泄露數(shù)據(jù)的頁面信息���。
截止5月8日晚間,研究人員驗(yàn)證并確認(rèn)匿名用戶已經(jīng)無法訪問這些頁面。”該研究人員表示�,雖然HCL沒有與報告數(shù)據(jù)泄漏的公司建立任何形式的溝通渠道��,但UpGuard報告得出的結(jié)論是“HCL的此次泄漏事件應(yīng)該引起商業(yè)領(lǐng)袖們的注意,他們很可能因此被淪為下一個受害者“。得知���,HCL似乎準(zhǔn)備聯(lián)合BleepingComputer發(fā)表正式聲明。但外媒核實(shí)情況后,截止本文發(fā)布前依舊未收到任何回復(fù)����。
