5月21日,《福布斯》报道称,位于《福布斯》全球2000强榜单上的Hindustan Computers Limited(HCL)在多个子域托管的公共可访问页面和Web界面上暴露了大量员工和商业信息。
该公司拥有200多位财富500强和600多位来自福布斯全球2000强的重要客户,这也给其客户企业带来了机密信息泄露的重大风险。
HCL是什么?
HCL是一家印度跨国信息技术服务和咨询公司,总部位于北方邦的诺伊达。
其业务涵盖许多领域,包括航空航天和国防、汽车、银行、资本市场、化工和加工业、消费品、能源和公用事业、医疗保健、高科技、工业制造、保险、生命科学、制造业、媒体和娱乐、采矿和自然资源、石油和天然气、零售、电信、旅游、运输、物流和酒店等。
客户信息“危在旦夕”
研究人员在其他不需要认证的页面上发现了更多泄露的信息。在这些信息中,2800多名员工的姓名和SAP代码可用于操作HCL内部的SmartManage报告系统,以查找或执行“停用”命令来管理所有客户的安装报告和项目数据。
UpGuard还发掘了一个内部分析报告数据库,其中列出了5700多条事件记录,包括记录每周客户报告细节的约18000条条目,最早的安装报告甚至可以追溯到2016年。
HCL内部数据泄露
据安全评估公司UpGuard称,HCL暴露的公共数据“包括新员工的个人信息和清晰密码、客户基础设施安装报告和管理人员的Web应用程序”
据悉,UpGuard的研究团队在5月1日发现了暴露的数据,当时他们检测到可以免费下载的文件,其中包含HCL领域的客户关键词。该文档包含其他可公开访问的页面以及个人和商业数据。
由于包含泄漏数据的页面被托管在多个HCL子域上,并且只能通过Web界面访问,研究人员最终决定在五天后才发布信息的详细分析结果。
UpGuard研究人员表示,最早的364天记录可以追溯到2013年。截至2019年,仍有200多条相关记录,其中54条是2019年5月6日加入的新员工。
公开的数据包括候选人身份、姓名、手机号码、加入日期、加入地点、招聘人员SAP代码、招聘人员姓名、创建日期、用户名、明文密码、BGV状态、已接受的聘用以及到候选人表格的链接。
报告发送后尚未得到回复
针对上述调查结果,UpGuard向HCL发送了一份通知,详细说明了泄露数据的性质——两个可公开访问的页面,一个包含子域的列表,以及向HCL的数据保护官员公开显示其业务信息。自报告发出以来,没有收到任何答复。
然而,5月7日,UpGuard研究小组发现,它报告的部分数据披露通知受到了保护——发送的两个页面当前都需要访问所需的身份验证,并且相对安全。然而,其他页面仍未“纳入”在HCL的保护范围内。
UpGuard说:“研究人员试图发送另一封电子邮件,其中包含与HCL数据相关的其他泄露数据的页面信息。截至5月8日晚,研究人员已经证实匿名用户不再能够访问这些页面。”
研究人员表示,尽管HCL没有与报告数据泄露的公司建立任何形式的沟通渠道,但UpGuard报告得出结论,“HCL泄露应该引商业领袖们的注意,他们很可能是下一个受害者。”
相关媒体获悉,HCL似乎正准备与BleepingComputer一起发布官方声明。然而,在外国媒体核实情况后,他们在本文发布前仍然没有收到任何答复。
然而,近年来,网络安全问题的严重影响和网络安全也开始引起各界的关注。对此,国内网络安全服务提供商GDCA数安时代对国内网络安全形势提出了几点建议:
1、对操作系统进行及时更新,堵塞操作系统的安全漏洞
通过定期升级和更新操作系统,有效阻断了操作系统的安全漏洞,满足了操作系统的安全性能指标,提高了操作系统的防御能力。因此,我们应该在网络使用过程中及时更新操作系统,防止事故发生。
2、在网络终端系统中安装杀毒软件,提高防御能力
为了保证网络终端能够满足安全性能要求,我们应该在网络终端系统中安装杀毒软件,并定期对网络终端系统进行消毒,以保证网络终端系统能够抵御病毒攻击,提高网络终端系统的安全性。
3、采用信息加密技术,提高数据库的安全性
结合数据库的使用特点,对数据库中的信息采用加密技术,防止数据库中的数据被盗用,提高数据安全性。
4、部署SSL证书,使用HTTPS加密传输协议
HTTPS是一个相对安全的加密传输协议,也是超文本传输协议的升级版本。HTTPS=超文本传输协议,其中SSL及其后继顶级域名是一种安全协议,为网络通信提供安全性和数据完整性。TLS和SSL在传输层加密网络连接,以防止传输数据被他人窃取、偷看或篡改。
网络安全保护不容忽视,提前加强网络安全是保护信息安全的绝对原则。
