HCL内部数据泄露！福布斯榜多位富豪信息暴露

5月21日据Forbes报道，位列福布斯全球2000强榜单的Hindustan Computers Limited（HCL）在多个子域上托管的可公开访问的页面和Web界面暴露了大量的员工和商业信息。

该公司拥有200多名财富500强以及600多名来自福布斯全球2000强名单的重要客户，这也为其客户企业带来机密信息泄露的重大风险。

HCL是什么？

HCL是一家印度跨国信息技术（IT）服务和咨询公司，其总部位于北方邦的诺伊达。

其业务涉及多个领域，包括航空航天和国防、汽车、银行、资本市场、化学和加工业、消费品、能源和公用事业、医疗保健、高科技、工业制造、保险、生命科学、制造业、媒体和娱乐，采矿和自然资源、石油和天然气、零售、电信、旅游、运输、物流和酒店等等。

HCL内部数据遭泄露

根据安全评估公司UpGuard的说法，此次HCL暴露的公共数据“包括新员工的个人信息和明文密码，客户基础设施安装报告以及管理人员的Web应用程序。”

据悉，UpGuard的研究团队在5月1日发现这些被暴露的数据，当时在HCL域上检测到可免费下载并包含客户关键字的文档。文档中包含了其他可公开访问的页面以及个人和商业数据。

鉴于包含泄露数据的页面托管在多个HCL子域上，并且只能通过Web界面访问，研究人员最终决定在五天后才公开信息的详细分析结果。

5月6日，UpGuard在进一步分析泄露的信息后发现了一个电子统计表，其用于管理新雇用的共364条人事记录。

UpGuard研究人员称，364天记录中最古老的可以追溯到2013年。而直到2019年仍有超过200条相关记录在其中，这里面有54条记录是2019年5月6日加入的新员工。

暴露的数据包括候选人ID、姓名、手机号码、加入日期、加入地点、招聘人员SAP代码、招聘人员姓名、创建日期、用户名、明文密码、BGV状态、接受的要约以及候选表格的链接。

客户机密信息“危在旦夕”

正如上面所提，通过员工通行密码，黑客能够在HLC的内部系统之间“畅游”。而最新发现表明这些风险有极大可能会波及到其客户。

研究人员在其他不需要身份验证的页面上发现了更多泄露信息，这些信息中有超过2800名员工的名称和SAP代码可以被用于操控HCL内部的SmartManage报告系统查找或执行“停用”命令，以此管理全部客户的安装报告及项目数据。

UpGuard还发掘了一份内部分析报告数据库，其中列出了超过5700个事件记录，其中包含了大约18000个条目记录了每周的客户报告详细内容，而最早的安装报告甚至可以追溯到2016年。

报告发送后尚未得到任何回复

对于上述发现，UpGuard向HCL发送了一份通知并详细说明了泄露数据的性质——两个可公开访问的页面、一个包含子域名的列表，以及向HCL的数据保护官员公开展示其业务信息。报告发送后尚未得到任何回复。

尽管如此，5月7日UpGuard研究团队发现其上报的数据泄露通知的一部分内容得到了保护——发送的两个页面目前都需要访问所需的身份验证，并且相对安全。然而，其他的页面则仍然没有被“纳入”HCL的保护范围内。

UpGuard称：“该研究人员尝试再次发送了一封电子邮件，其中包含与HCL数据相关的其他泄露数据的页面信息。截止5月8日晚间，研究人员验证并确认匿名用户已经无法访问这些页面。”

该研究人员表示，虽然HCL没有与报告数据泄漏的公司建立任何形式的沟通渠道，但UpGuard报告得出的结论是“HCL的此次泄漏事件应该引起商业领袖们的注意，他们很可能因此被沦为下一个受害者“。

相关媒体得知，HCL似乎准备联合BleepingComputer发表正式声明。但外媒核实情况后，截止本文发布前依旧未收到任何回复。 但近年来，网络安全问题造成的严重影响，以及网络安全也开始慢慢引起各界的重视。对此，国内网络安全服务商GDCA数安时代就关于国内网络安全情况提出几点建议：

1、对操作系统进行及时更新，堵塞操作系统的安全漏洞

通过定期对操作系统进行升级和更新的办法有效堵塞操作系统的安全漏洞，从而满足操作系统的安全性能指标，提高操作系统的防御能力。所以，我们应在网络使用过程中，对操作系统进行及时更新，防患于未然。

2、在网络终端系统中安装杀毒软件，提高防御能力

为了保证网络终端能够满足安全性能要求，我们应在网络终端系统中安装杀毒软件，定期对网络终端系统进行杀毒，保证网络终端系统能够抵御病毒攻击，提高网络终端系统的安全性。

3、采用信息加密技术，提高数据库的安全性

结合数据库的使用特点，对数据库中的信息采取加密技术，防止数据库中的数据被盗用，提高数据的安全性。

4、部署SSL证书，使用HTTPS加密传输协议

HTTPS是一项相对安全的加密传输协议，是HTTP的升级版。HTTPS=HTTP+SSL,其中SSL及其继任者TLS是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密，防止传输数据被他人窃取、窥视或篡改。

网络安全防护不可忽视，提前加强网络安全才是保护信息安全的硬道理。