HCL deixou senhas de funcionários e outros dados confidenciais expostos

A gigante de serviços de TI, HCL, deixou as senhas dos funcionários expostas on-line, bem como detalhes de projetos do cliente e outras informações confidenciais, tudo sem qualquer forma de autenticação, revelou uma pesquisa pela consultoria de segurança UpGuard.

Um portal de recursos humanos da HCL publicou novos nomes de funcionários, nomes de usuários e senhas em texto simples. “O material mais sensível estava em um portal de RH e tinha um relatório para novas contratações, e estava sendo claramente usado ativamente”, disse Greg Pollock, vice-presidente de produto da UpGuard, à CSO. “Cinquenta e quatro pessoas foram incorporadas durante o período em que eu encontrei isso”.

Os novos dados de funcionários expostos, diz o relatório da UpGuard, incluem “ID de candidato, nome, número de celular, data de admissão, local de admissão, código SAP recrutador, nome do recrutador, data de criação, nome de usuário, senha em texto simples, status BGV, oferta aceita e um link para o formulário do candidato”.

Essas informações poderiam ter sido usadas por agentes mal-intencionados para acessar os sistemas HCL para obter acesso a outros sistemas confidenciais, ou mesmo assumir o controle da conta de e-mail de um novo funcionário e enviar e-mails de phishing com aparência legítima para outras pessoas da empresa ou para clientes da HCL .

“[Um invasor] pode ter recebido essas senhas e logado como usuário, embora eu não possa testar isso”, diz Pollock, observando que, embora o exame de dados disponíveis publicamente seja legal, o acesso não autorizado seria uma violação da CFAA.

A falta de autenticação expôs a propriedade intelectual (IP) pertencente à HCL e aos seus clientes. O status das implantações de projetos geralmente é um segredo comercial, e os terceirizadores de TI são conhecidos por roubarem os principais talentos de cada um. Simplesmente saber no que a HCL está trabalhando seria uma informação valiosa para qualquer número de concorrentes.

As novas senhas de funcionários, redigidas no relatório do UpGuard, pareciam ser geradas aleatoriamente e com uma complexidade razoável, diz Pollock, mas foram publicadas on-line para todo o mundo ver. “São trabalhadores de TI; não são senhas do Spotify”, diz Pollock. “Estas são as contas de negócios de pessoas que vão continuar a atender os clientes da HCL”.

Um porta-voz da HCL deu à CSO essa declaração a respeito do evento, “A HCL Technologies leva a segurança de dados extremamente a sério. Imediatamente após o conhecimento da questão, agimos e resolvemos rapidamente. Nossa equipe está realizando uma revisão completa para determinar precisamente o que ocorreu e implementar medidas para garantir que isso não aconteça novamente”.

A descoberta desses dados expostos vem na esteira de um grande escândalo na Wipro, concorrente da HCL, cujos sistemas foram hackeados e usados para lançar ataques contra os clientes da Wipro. Ainda não há evidências de que os invasores tenham usado as credenciais de funcionários expostos da HCL para atacar os clientes da própria empresa.

Detalhes do projeto de cliente da HCL também foram expostos

O portal SmartManage da HCL, usado para compartilhar detalhes do projeto com os clientes em tempo real, também foi afetado. Uma lista suspensa do portal inclui uma lista de cerca de 2.000 clientes, muitos deles empresas da Fortune 1000. Além do pesadelo de usabilidade de um menu suspenso de 2.000 itens, os detalhes do projeto expostos incluíam informações confidenciais do cliente, como relatórios internos de análise, relatórios semanais de clientes e relatórios de instalação.

Esses relatórios de projeto oferecem uma visão detalhada do status atual de cada site do cliente, “informações valiosas para um gerente de projeto – ou um possível invasor”, observa o relatório da UpGuard.
Um cliente notável foi o Banco do Estado da Índia (SBI) e seu projeto para implantar e manter uma frota de caixas eletrônicos na Índia conectados usando antenas parabólicas VSAT (Very Small Aperture Terminal). O SmartManage listou cerca de 5.700 “relatórios detalhados de incidentes” para os caixas eletrônicos, bem como “relatórios de tempo de atividade da janela de serviço”.

Os subdomínios da HCL também expuseram nomes e códigos SAP de mais de 2.800 funcionários, incluindo um aplicativo web publicamente disponível, o qual permite aos usuários pesquisar e “desativar” funcionários, embora o UpGuard diga, por motivos legais, que eles não testaram essa funcionalidade.

Uma vitória da GDPR: o trabalho de DPOs

Um ponto brilhante deste incidente foi que a HCL publicou os detalhes de contato de seu encarregado de proteção de dados (DPO) em seu site, tornando fácil para o UpGuard relatar os dados expostos. Embora a HCL nunca tenha respondido ao relatório da UpGuard, os dados não estavam mais disponíveis publicamente 24 horas depois. (A HCL não respondeu às nossas solicitações de comentários).

“É um grande problema para os pesquisadores encontrar alguém para notificar, para que eles tomem providências”, diz Pollock. “Mas a HCL está bem configurada. Alguém está realmente do outro lado das coisas cuidando disso”.

A causa raiz do problema parece ter sido permissões mal gerenciadas em subdomínios da HCL. “As permissões estavam em uma base de página por página, o que é uma maneira muito difícil de gerenciar a segurança”, diz Pollock. “Em vez de ter que acertar uma vez, você precisa acertar todas as vezes”

“E quando as pessoas têm que acertar todas as vezes, elas não acertam”, acrescenta. “Esse foi o caso aqui”.