违反
公开招募:HCL如何公开员工密码和项目今日足球直播比赛

公开招募:HCL如何公开员工密码和项目今日足球直播比赛

UpGuard团队
UpGuard团队
2019年5月21日发布
加入27,000多个网络安全通讯订阅者

在代表UpGuard客户端(UpGuard的成员)执行今日足球直播比赛泄漏调查的过程中 今日足球直播比赛泄露 研究小组发现了属于技术服务提供商HCL的可公开访问的信息。公共今日足球直播比赛包括新员工的个人信息和明文密码,客户基础设施安装报告以及管理人员的Web应用程序。通知HCL之后,带有敏感信息的页面将无法访问,从而确保了已知的今日足球直播比赛公开。

发现

因为此今日足球直播比赛曝光涉及不同的 向量 与我们以前的报告相比,研究团队活动的一些背景知识将有助于解释它是如何发现的。 UpGuard研究团队不断为Breachsight Data Leaks模块的客户监视敏感信息的暴露情况。这种方法基于关键字并且以今日足球直播比赛为中心;它与今日足球直播比赛的存储位置或存储方式无关。在某些情况下,今日足球直播比赛可能会发布在软件即服务应用程序上,例如 特雷洛 或托管在AWS之类的基础架构即服务平台上。

在这种情况下,可以从HCL域中公开访问包含客户关键字的文件。该文件于2019年5月1日被发现。对该域的其他搜索导致发现其他可公开访问的包含个人和企业今日足球直播比赛的页面。由于暴露的性质,确定暴露程度需要几天的工作。尽管典型的今日足球直播比赛公开涉及单个存储桶或今日足球直播比赛库中的一个今日足球直播比赛集合,但在这种情况下,今日足球直播比赛分布在多个子域中,必须通过Web UI进行访问。这些限制扩大了分析的范围,并限制了分析师访问今日足球直播比赛的速度。


5月6日,研究人员在对公开页面和今日足球直播比赛进行了合理完整的分析之后,向HCL的今日足球直播比赛保护官发送了通知,网址为: [email protected]。该通知包括指向具有某些业务信息的五个子域托管页面的链接以及页面的两个URL,以作为在这些子域中可以找到的内容的示例。 5月7日,分析人员确认,如果没有身份验证就无法再访问这两个页面,但其他子域上的页面仍然可以访问。分析师发送了一封后续电子邮件,链接到包含HCL今日足球直播比赛的其他页面,并在第二天(5月8日)确认匿名用户也不再可以访问这些页面。 

意义

具有来自HCL的信息的资源集中包括具有不同应用程序的几个子域。

人力资源仪表板

一个子域包含用于各种HR管理任务的页面。并非该子域中的所有页面都可以访问-可访问的页面包含指向应用程序许多其他部分的链接,这些链接在被访问时返回“会话已过期”消息。但是确实允许匿名访问的页面包含大量个人信息,其中一些是最近才出现的。

新员工的仪表板包括364名人员的记录。最古老的记录来自2013年,但有200条记录来自2019年。实际上,其中54条记录是针对2019年5月6日加入的人的。暴露的今日足球直播比赛包括候选人ID,姓名,手机号码,加入日期,加入位置,招聘者SAP代码,招聘者名称,创建日期,用户名,明文密码,BGV状态,接受的录取以及指向候选人表格的链接。在这些今日足球直播比赛点中,最明显的风险是密码可能会被用来访问其他HCL系统,这些员工将可以访问这些系统。

修订的新加入者仪表板
已编辑的2019年加入的员工记录样本


与人事管理相关的另一页列出了2800多名员工的姓名和SAP代码。另一个应用程序页面显示了一个字段,在该字段中,SAP代码和名称可用于查找和“停用”员工,尽管研究人员未尝试执行这些操作。

编辑的员工名单
大约2,800名HCL员工的页面列表名称和SAP代码

客户安装报告

HCL提供广泛的服务,根据他们的网站,他们有十万多名员工,这使得有效的项目管理对其业务至关重要。他们这样做的方法之一是“ SmartManage”报告系统, 根据新闻报道 与印度国家银行签订合同,以通过VSAT(“非常小孔径终端” —能够连通的小型卫星天线)互连ATM。 SmartManage系统的报告界面(包括截至目前的今日足球直播比赛)一直保持打开状态,公开了有关项目状态,站点,事件等的信息。

这些报告包括用于配置搜索的下拉列表集。报表之间的可用选项略有不同,以适应其不同的用途和今日足球直播比赛集。 “客户”列表中包括2000多个名称。

报告应用程序的索引列出了这些报告,匿名用户可以访问所有这些报告:

内部分析报告(根据特定要求运送给客户)

  • 前N个发病率报告
  • 详细事故报告
  • 服务窗口正常运行时间报告     

每周客户报告(每周向客户发送-自动)。

  • 网络正常运行时间报告              
  • VSAT正常运行时间总结报告      

安装报告

  • 原因分析报告                  
  • 原因分析报告(LHO Wise)
  • 项目总结报告                 
  • 项目总结报告(LHO Wise)
  • 待处理行动报告                    
  • 待处理操作和摘要报告
  • 待处理操作和摘要报告(明智的LHO)                                  
  • 点报告                                   
  • 激活报告                            
  • 待处理订单报告                     
  • 订单已取消报告                   
  • 现场问题报告                       
  • 保留货件报告                
  • 项目客户仪表板报告
  • 空运和停运报告      
  • 出货明细表                    
  • 转移和拆卸报告    
编辑报告索引
报告索引的屏幕截图


此站点上使用的ASP框架具有安全功能,可以防止来自UI的请求无法提交。这样可以防止更改请求超出用户有权访问的范围。由于UI完全可供匿名用户使用,因此这不能保护今日足球直播比赛,但是可以通过直接调用API来阻止批量下载所有今日足球直播比赛。由于对于我们而言,完整的今日足球直播比赛集既不便又不必要,因此取样以确认攻击者可以访问的今日足球直播比赛类型和大致数量。这里没有今日足球直播比赛包含凭证,但是有大量有关HCL项目的信息。

内部分析报告

“详细的事件报告”列出了大约5700个事件,其字段标记为:VSAT ID,位置,ATM ID,开始时间,结束时间,持续时间,原因和描述。 “服务窗口正常运行时间报告”包括VSAT ID,收货人,城市,负责的正常运行时间,Comnet问题,非HCL Comnet,客户问题,正常运行时间。 2019年4月有450条记录,2019年1月有450条记录,2018年1月有521条记录,符合人们对某种标准月度报告所期望的规律性。

每周客户报告

每周的客户报告包括大量用于跟踪系统性能的记录。截止到2019年(从一月到五月),大约有1.8万条记录,其中包括VSAT ID,位置,城市,可运行时间,Comnet Sisue,非HCL comnet和正常运行时间。

编辑的网络正常运行时间报告

安装报告

本节中提供了许多报告视图,这些视图似乎提供了以不同方式切分的相似今日足球直播比赛以映射到各自的业务目的。通常,这些报告跟踪安装的进度,结果显示了有关客户端站点及其进度内部的信息。这些报告跟踪了项目的总体状态,任何延误的原因,这些项目所需的装运状态以及有关VSAT运行状况的其他一些详细信息。

“原因分析报告”包括以下字段:收货人,接收到的站点地址,站点准备情况,已识别的客户问题,站点已清理,待处理,待发货,待发货,待发货,发货,在现场收到,安装,安装。待定,已确定客户问题,物理安装完成,带宽不可用,激活已完成,备注。该应用程序中没有给出计数,但2018年有约200条记录,2017年有约1200条记录。有些记录可以追溯到2016年。

修订原因报告


除跟踪项目状态外,还提供以下报告的各种报告,其中包含以下字段的字段:货号,客户名称,收货人,进入现场(日期),EnToPR的已用天数,EnToPR的待处理天数,PRtoPE的待处理天数,待交付的天数,PDtoIN的天数,安装待处理,INSTo的天数和网站已激活。报告的目的是提供每个站点正在发生的事件的详细可见性-对于项目经理来说是有价值的信息-或可能是攻击者。

“交通运输部报告”的条目数量相对较少,但有关于安装该系统的详细信息。 甚小孔径终端 他们自己。该应用程序一次仅允许一次获取一个月的今日足球直播比赛,但是在抽样中,似乎可以追溯到2017年的每个月中有几个这样的安装。报告记录了VSAT的ID,大小,位置和周围环境。


编辑点报告


运输服务升级矩阵

目前尚不清楚此信息的最新情况,但其中一页包含了15个出租车集线器和7个巴士集线器的名称,电子邮件地址和手机号码。作为升级矩阵的一部分,此信息具有一个商业环境,恶意行为者本可以用来浪费宝贵的资源,并有可能启动针对性强的目标。 网络钓鱼 攻击。该页面包括一个登录页面的链接,因此开发人员可能有意将其公开,但是超出一级支持的升级链信息似乎仅适用于HCL人员和特权客户。它不再公开可用。

修订的升级矩阵
联系人信息映射到升级链的条目之一的示例。一级支持是帮助台别名,而其他条目具有用户名。

招聘批准链管理小组

“智能招聘”系统似乎是管理招聘批准流程的一部分。 URL中的GroupID参数可以被迭代以访问八个组的页面。每个小组的页面看起来相当相似,尽管有些需要两个批准者,而另一些则需要三个批准者。目前尚不清楚是否正在使用这些系统,但是如果使用了这些系统,则恶意行为者对其的访问可能会导致业务中断。

编辑批准下拉列表
接口的示例"Smart Recruit" system

结论

像HCL这样的大型服务提供商必须管理大量今日足球直播比赛,人员和项目。通常,管理复杂性高是今日足球直播比赛泄漏的根本原因。在这种情况下,匿名用户可以访问看上去应该要求用户身份验证的页面。这些相同应用程序上的其他页面确实需要用户身份验证这一事实说明了导致今日足球直播比赛泄漏的挑战:如果必须正确配置每个页面,最终会导致操作失误。

今日足球直播比赛还说明了业务流程生成和使用的信息的范围。最明显的敏感今日足球直播比赛是新雇用人员的最新密码。但是凭据很有价值,因为它们提供了对信息的访问,而详细且长期运行的项目计划是攻击者可能滥用凭据进行访问的信息。此外,此处可访问的页面显示了如何使用标识信息(例如内部ID)来扩大违规范围以收集更多信息。

除了要注意今日足球直播比赛泄漏的风险外,业务主管还应注意HCL响应的有效性。 HCL拥有并非所有公司都拥有的今日足球直播比赛保护官。该角色的存在已被清楚地广告,并且很容易找到与他们联系的电子邮件地址。尽管HCL从未对UpGuard做出回应,但他们在收到通知后立即采取了行动。由于暴露于负责方的正确,正确的联系信息,许多曝光在检测到很长时间后仍保持公开。在这种情况下,HCL的今日足球直播比赛保护功能宣传了如何向他们报告暴露情况,并迅速采取了补救措施。在不可避免发生某种今日足球直播比赛丢失的世界中 事件响应 像这样至关重要。

UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

保护您的组织

取得联系或预订免费演示。
抽象形状抽象形状

相关违规

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状