敏感数据从运行 Salesforce 软件的服务器中泄露

程式化图像一排排挂锁。”/>展开 盖蒂图片社 </figure><p>根据 KrebsOnSecurity 周五发表的一篇文章,运行 Salesforce 销售的软件的服务器会泄露政府机构、银行和其他组织处理的敏感数据。</p> <p>Brian Krebs 报道说,至少有五个由佛蒙特州运营的独立网站已向任何人授予访问敏感数据的权限。该州的大流行性失业援助计划受到影响。它暴露了候选人的全名、社会安全号码、地址、电话号码、电子邮件地址和银行帐号。与其他提供私有数据公共访问权限的组织一样,佛蒙特州使用了 Salesforce Community,这是一种基于云的软件产品,旨在使组织能够快速构建网站。</p> <p>另一个受影响的 Salesforce 客户是位于俄亥俄州哥伦布市的 Huntington Bank。它最近收购了 TCF Bank,后者使用 Salesforce Community 来处理商业贷款。公开的数据字段包括姓名、地址、社会安全号码、职务、联邦身份证、IP 地址、平均月薪和贷款金额。</p> <p>当克雷布斯联系佛蒙特州和亨廷顿银行征求意见时,他们得知了泄密事件。在这两种情况下,客户都迅速取消了对敏感信息的公开访问权限。</p> <p>Salesforce 社区网站可以配置为需要身份验证,以便有限数量的授权个人可以访问敏感数据和内部资源。还可以将站点配置为允许任何人在未经身份验证的情况下访问以查看公共信息。管理员有时会不经意地允许未经身份验证的访问者访问本网站中仅供授权员工访问的部分。</p> <p>Salesforce 告诉 Krebs,它为客户提供了关于如何设置 Salesforce Community 的明确指导,以确保未经身份验证的访客可以访问数据。该公司在此处、此处和此处列出了资源。</p> <p>有几个人质疑这一说法。其中一位是佛蒙特州首席信息安全官 Scott Carbee。他告诉克雷布斯,他的团队“对该平台的宽松性质感到沮丧”。另一位评论家是 Doug Merrett,他在两年前首次尝试提高人们对 Salesforce 社区中容易出现错误配置的认识。周五,他在一篇名为“Salesforce 社区安全问题”的文章中解释了这个问题。</p> <p>“问题是您可以‘破解’URL 以查看标准的 Salesforce 页面——帐户、联系人、用户等,”Merrett 写道。 “这真的不是问题,除了管理员不希望你看到标准页面,因为他们没有添加与 Aura 社区导航相关的对象,因此没有创建适当的布局来隐藏字段他们不想让用户看到。”</p> <p>用 Salesforce 的说法,Aura 是指用户界面中可重复使用的组件,可应用于网页的选定部分,从单行文本到整个应用程序。</p> <p>Krebs 表示,他是从安全研究员 Charan Akiri 那里得知泄密事件的,他发现了数百个 Salesforce 站点配置错误的组织。娅奇里说,在他通知的多家公司和政府组织中,只有五家最终解决了问题。他们都不是政府部门的。</p> <p>Krebs 通知的一个组织是华盛顿特区政府,该组织将 Salesforce Community 用于至少五个公共 DC Health 网站,并正在披露敏感信息。该地区的代理信息安全官告诉克雷布斯,他分析了第三方顾问的调查结果进行调查。 CISO 告诉 Krebs,第三方表示这些网站不容易受到数据丢失的影响。</p> <p>克雷布斯随后提供了一份文件,其中显示了他在与 CISO 面谈时从 DC Health 下载的一名医疗专业人员的社会安全号码。然后 CISO 认识到...</h2></div> <div class=   技术   Apr 30, 2023   0   28  Add to Reading List

敏感数据从运行 Salesforce 软件的服务器中泄露
程式化图像一排排挂锁。”/>展开 盖蒂图片社 </figure><p>根据 KrebsOnSecurity 周五发表的一篇文章,运行 Salesforce 销售的软件的服务器会泄露政府机构、银行和其他组织处理的敏感数据。</p> <p>Brian Krebs 报道说,至少有五个由佛蒙特州运营的独立网站已向任何人授予访问敏感数据的权限。该州的大流行性失业援助计划受到影响。它暴露了候选人的全名、社会安全号码、地址、电话号码、电子邮件地址和银行帐号。与其他提供私有数据公共访问权限的组织一样,佛蒙特州使用了 Salesforce Community,这是一种基于云的软件产品,旨在使组织能够快速构建网站。</p> <p>另一个受影响的 Salesforce 客户是位于俄亥俄州哥伦布市的 Huntington Bank。它最近收购了 TCF Bank,后者使用 Salesforce Community 来处理商业贷款。公开的数据字段包括姓名、地址、社会安全号码、职务、联邦身份证、IP 地址、平均月薪和贷款金额。</p> <p>当克雷布斯联系佛蒙特州和亨廷顿银行征求意见时,他们得知了泄密事件。在这两种情况下,客户都迅速取消了对敏感信息的公开访问权限。</p> <p>Salesforce 社区网站可以配置为需要身份验证,以便有限数量的授权个人可以访问敏感数据和内部资源。还可以将站点配置为允许任何人在未经身份验证的情况下访问以查看公共信息。管理员有时会不经意地允许未经身份验证的访问者访问本网站中仅供授权员工访问的部分。</p> <p>Salesforce 告诉 Krebs,它为客户提供了关于如何设置 Salesforce Community 的明确指导,以确保未经身份验证的访客可以访问数据。该公司在此处、此处和此处列出了资源。</p> <p>有几个人质疑这一说法。其中一位是佛蒙特州首席信息安全官 Scott Carbee。他告诉克雷布斯,他的团队“对该平台的宽松性质感到沮丧”。另一位评论家是 Doug Merrett,他在两年前首次尝试提高人们对 Salesforce 社区中容易出现错误配置的认识。周五,他在一篇名为“Salesforce 社区安全问题”的文章中解释了这个问题。</p> <p>“问题是您可以‘破解’URL 以查看标准的 Salesforce 页面——帐户、联系人、用户等,”Merrett 写道。 “这真的不是问题,除了管理员不希望你看到标准页面,因为他们没有添加与 Aura 社区导航相关的对象,因此没有创建适当的布局来隐藏字段他们不想让用户看到。”</p> <p>用 Salesforce 的说法,Aura 是指用户界面中可重复使用的组件,可应用于网页的选定部分,从单行文本到整个应用程序。</p> <p>Krebs 表示,他是从安全研究员 Charan Akiri 那里得知泄密事件的,他发现了数百个 Salesforce 站点配置错误的组织。娅奇里说,在他通知的多家公司和政府组织中,只有五家最终解决了问题。他们都不是政府部门的。</p> <p>Krebs 通知的一个组织是华盛顿特区政府,该组织将 Salesforce Community 用于至少五个公共 DC Health 网站,并正在披露敏感信息。该地区的代理信息安全官告诉克雷布斯,他分析了第三方顾问的调查结果进行调查。 CISO 告诉 Krebs,第三方表示这些网站不容易受到数据丢失的影响。</p> <p>克雷布斯随后提供了一份文件,其中显示了他在与 CISO 面谈时从 DC Health 下载的一名医疗专业人员的社会安全号码。然后 CISO 认识到... </div> <div class=

What's Your Reaction?

like

dislike

love

funny

angry

sad

wow