|
|
|
联系客服020-83701501

HCL内部数据泄露!福布斯榜多位富豪信息暴露

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约

  5月21日,《福布斯》报道称,位于《福布斯》全球2000强榜单上的Hindustan Computers Limited(HCL)在多个子域托管的公共可访问页面和Web界面上暴露了大量员工和商业信息。

HCL内部数据泄露!福布斯榜多位富豪信息暴露

  该公司拥有200多位财富500强和600多位来自福布斯全球2000强的重要客户,这也给其客户企业带来了机密信息泄露的重大风险。

  HCL是什么?

  HCL是一家印度跨国信息技术服务和咨询公司,总部位于北方邦的诺伊达。

  其业务涵盖许多领域,包括航空航天和国防、汽车、银行、资本市场、化工和加工业、消费品、能源和公用事业、医疗保健、高科技、工业制造、保险、生命科学、制造业、媒体和娱乐、采矿和自然资源、石油和天然气、零售、电信、旅游、运输、物流和酒店等。

  客户信息“危在旦夕”

  研究人员在其他不需要认证的页面上发现了更多泄露的信息。在这些信息中,2800多名员工的姓名和SAP代码可用于操作HCL内部的SmartManage报告系统,以查找或执行“停用”命令来管理所有客户的安装报告和项目数据。

  UpGuard还发掘了一个内部分析报告数据库,其中列出了5700多条事件记录,包括记录每周客户报告细节的约18000条条目,最早的安装报告甚至可以追溯到2016年。

  HCL内部数据泄露

  据安全评估公司UpGuard称,HCL暴露的公共数据“包括新员工的个人信息和清晰密码、客户基础设施安装报告和管理人员的Web应用程序”

  据悉,UpGuard的研究团队在5月1日发现了暴露的数据,当时他们检测到可以免费下载的文件,其中包含HCL领域的客户关键词。该文档包含其他可公开访问的页面以及个人和商业数据。

  由于包含泄漏数据的页面被托管在多个HCL子域上,并且只能通过Web界面访问,研究人员最终决定在五天后才发布信息的详细分析结果。

  UpGuard研究人员表示,最早的364天记录可以追溯到2013年。截至2019年,仍有200多条相关记录,其中54条是2019年5月6日加入的新员工。

  公开的数据包括候选人身份、姓名、手机号码、加入日期、加入地点、招聘人员SAP代码、招聘人员姓名、创建日期、用户名、明文密码、BGV状态、已接受的聘用以及到候选人表格的链接。

  报告发送后尚未得到回复

  针对上述调查结果,UpGuard向HCL发送了一份通知,详细说明了泄露数据的性质——两个可公开访问的页面,一个包含子域的列表,以及向HCL的数据保护官员公开显示其业务信息。自报告发出以来,没有收到任何答复。

  然而,5月7日,UpGuard研究小组发现,它报告的部分数据披露通知受到了保护——发送的两个页面当前都需要访问所需的身份验证,并且相对安全。然而,其他页面仍未“纳入”在HCL的保护范围内。

  UpGuard说:“研究人员试图发送另一封电子邮件,其中包含与HCL数据相关的其他泄露数据的页面信息。截至5月8日晚,研究人员已经证实匿名用户不再能够访问这些页面。”

  研究人员表示,尽管HCL没有与报告数据泄露的公司建立任何形式的沟通渠道,但UpGuard报告得出结论,“HCL泄露应该引商业领袖们的注意,他们很可能是下一个受害者。”

  相关媒体获悉,HCL似乎正准备与BleepingComputer一起发布官方声明。然而,在外国媒体核实情况后,他们在本文发布前仍然没有收到任何答复。

  然而,近年来,网络安全问题的严重影响和网络安全也开始引起各界的关注。对此,国内网络安全服务提供商GDCA数安时代对国内网络安全形势提出了几点建议:

  1、对操作系统进行及时更新,堵塞操作系统的安全漏洞

  通过定期升级和更新操作系统,有效阻断了操作系统的安全漏洞,满足了操作系统的安全性能指标,提高了操作系统的防御能力。因此,我们应该在网络使用过程中及时更新操作系统,防止事故发生。

  2、在网络终端系统中安装杀毒软件,提高防御能力

  为了保证网络终端能够满足安全性能要求,我们应该在网络终端系统中安装杀毒软件,并定期对网络终端系统进行消毒,以保证网络终端系统能够抵御病毒攻击,提高网络终端系统的安全性。

  3、采用信息加密技术,提高数据库的安全性

  结合数据库的使用特点,对数据库中的信息采用加密技术,防止数据库中的数据被盗用,提高数据安全性。

  4、部署SSL证书,使用HTTPS加密传输协议

  HTTPS是一个相对安全的加密传输协议,也是超文本传输协议的升级版本。HTTPS=超文本传输协议,其中SSL及其后继顶级域名是一种安全协议,为网络通信提供安全性和数据完整性。TLS和SSL在传输层加密网络连接,以防止传输数据被他人窃取、偷看或篡改。

  网络安全保护不容忽视,提前加强网络安全是保护信息安全的绝对原则。

数安新闻+更多

证书相关+更多