全世界誰最有錢？他們住在哪里？手機號是什么？富豪們買了什么？想必你跟我一樣好奇。

這些信息很值錢，這些信息也很危險。

最近，富豪們要瑟瑟發(fā)抖了。

5月21日據(jù)Forbes報道，位列福布斯全球2000強榜單的Hindustan Computers Limited（HCL）在多個子域上托管的可公開訪問的頁面和Web界面暴露了大量的員工和商業(yè)信息。

該公司擁有200多名財富500強以及600多名來自福布斯全球2000強名單的重要客戶，這也為其客戶企業(yè)帶來機密信息泄露的重大風險。

HCL什么鬼？

沒錯，上述故事中擔任“坑貨”公司的原型就是HCL（Hindustan Computers Limited）。HCL是一家印度跨國信息技術（IT）服務和咨詢公司，其總部位于北方邦的諾伊達。

其業(yè)務涉及多個領域，包括航空航天和國防、汽車、銀行、資本市場、化學和加工業(yè)、消費品、能源和公用事業(yè)、醫(yī)療保健、高科技、工業(yè)制造、保險、生命科學、制造業(yè)、媒體和娛樂，采礦和自然資源、石油和天然氣、零售、電信、旅游、運輸、物流和酒店等等。

這意味著什么？HCL內(nèi)部存儲了海量行業(yè)企業(yè)的商業(yè)信息及數(shù)據(jù)。

HCL內(nèi)部數(shù)據(jù)遭泄露

OK，到這我想你已經(jīng)猜到接下來要講什么了。

根據(jù)安全評估公司UpGuard的說法，此次HCL暴露的公共數(shù)據(jù)“包括新員工的個人信息和明文密碼，客戶基礎設施安裝報告以及管理人員的Web應用程序?！?/p>

暴露的HCL人力資源管理系統(tǒng)

據(jù)悉，UpGuard的研究團隊在5月1日發(fā)現(xiàn)這些被暴露的數(shù)據(jù)，當時在HCL域上檢測到可免費下載并包含客戶關鍵字的文檔。文檔中包含了其他可公開訪問的頁面以及個人和商業(yè)數(shù)據(jù)。

鑒于包含泄露數(shù)據(jù)的頁面托管在多個HCL子域上，并且只能通過Web界面訪問，研究人員最終決定在五天后才公開信息的詳細分析結果。

5月6日，UpGuard在進一步分析泄露的信息后發(fā)現(xiàn)了一個電子統(tǒng)計表，其用于管理新雇用的共364條人事記錄。

UpGuard研究人員稱，364天記錄中最古老的可以追溯到2013年。而直到2019年仍有超過200條相關記錄在其中，這里面有54條記錄是2019年5月6日加入的新員工。

暴露的SmartManage報告系統(tǒng)

暴露的數(shù)據(jù)包括候選人ID、姓名、手機號碼、加入日期、加入地點、招聘人員SAP代碼、招聘人員姓名、創(chuàng)建日期、用戶名、明文密碼、BGV狀態(tài)、接受的要約以及候選表格的鏈接。

客戶機密信息“危在旦夕”

正如上面所提，通過員工通行密碼，黑客能夠在HLC的內(nèi)部系統(tǒng)之間“暢游”。而最新發(fā)現(xiàn)表明這些風險有極大可能會波及到其客戶。

研究人員在其他不需要身份驗證的頁面上發(fā)現(xiàn)了更多泄露信息，這些信息中有超過2800名員工的名稱和SAP代碼可以被用于操控HCL內(nèi)部的SmartManage報告系統(tǒng)查找或執(zhí)行“停用”命令，以此管理全部客戶的安裝報告及項目數(shù)據(jù)。

SmartManage報告索引

UpGuard還發(fā)掘了一份內(nèi)部分析報告數(shù)據(jù)庫，其中列出了超過5700個事件記錄，其中包含了大約18000個條目記錄了每周的客戶報告詳細內(nèi)容，而最早的安裝報告甚至可以追溯到2016年。

真高冷？還是慌！

對于上述發(fā)現(xiàn)，UpGuard向HCL發(fā)送了一份通知并詳細說明了泄露數(shù)據(jù)的性質——兩個可公開訪問的頁面、一個包含子域名的列表，以及向HCL的數(shù)據(jù)保護官員公開展示其業(yè)務信息。

報告發(fā)送后尚未得到任何回復。

盡管如此，5月7日UpGuard研究團隊發(fā)現(xiàn)其上報的數(shù)據(jù)泄露通知的一部分內(nèi)容得到了保護——發(fā)送的兩個頁面目前都需要訪問所需的身份驗證，并且相對安全。然而，其他的頁面則仍然沒有被“納入”HCL的保護范圍內(nèi)。

UpGuard稱：“該研究人員嘗試再次發(fā)送了一封電子郵件，其中包含與HCL數(shù)據(jù)相關的其他泄露數(shù)據(jù)的頁面信息。截止5月8日晚間，研究人員驗證并確認匿名用戶已經(jīng)無法訪問這些頁面?！?/p>

該研究人員表示，雖然HCL沒有與報告數(shù)據(jù)泄漏的公司建立任何形式的溝通渠道，但UpGuard報告得出的結論是“HCL的此次泄漏事件應該引起商業(yè)領袖們的注意，他們很可能因此被淪為下一個受害者“。

雷鋒網(wǎng)得知，HCL似乎準備聯(lián)合BleepingComputer發(fā)表正式聲明。但外媒核實情況后，截止本文發(fā)布前依舊未收到任何回復。

參考來源：Forbes雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。