Конфиденциальные данные просачиваются с серверов, на которых установлено программное обеспечение Salesforce.
Конфиденциальные данные просачиваются с серверов, на которых установлено программное обеспечение Salesforce.
Expand
Гетти Изображений
Согласно статье, опубликованной в пятницу изданием KrebsOnSecurity, серверы, на которых установлено программное обеспечение, продаваемое Salesforce, утекают конфиденциальные данные, которые обрабатываются государственными учреждениями, банками и другими организациями.
По сообщению Брайана Кребса, по меньшей мере пять отдельных сайтов, находящихся в ведении штата Вермонт, предоставили доступ к конфиденциальным данным любому лицу. Среди пострадавших была государственная программа помощи по безработице в связи с пандемией. В нем были раскрыты полные имена кандидатов, номера социального страхования, адреса, номера телефонов, адреса электронной почты и номера банковских счетов. Как и другие организации, предоставляющие публичный доступ к личным данным, Vermont использовала Salesforce Community — облачный программный продукт, позволяющий организациям быстро создавать веб-сайты.
Другим пострадавшим клиентом Salesforce стал банк Huntington Bank из Колумбуса, штат Огайо. Недавно он приобрел TCF Bank, который использовал Salesforce Community для обработки коммерческих кредитов. Доступные поля данных включали имена, адреса, номера социального страхования, должности, федеральные удостоверения личности, IP-адреса, среднемесячную зарплату и суммы кредита.
Штат Вермонт и Huntington Bank узнали об утечке, когда Кребс связался с ними для получения комментариев. В обоих случаях клиенты быстро закрыли публичный доступ к конфиденциальной информации.
На веб-сайтах сообщества Salesforce можно настроить требование аутентификации, чтобы ограниченное число авторизованных лиц могло получить доступ к конфиденциальным данным и внутренним ресурсам. Сайты также могут быть настроены таким образом, чтобы любой мог просматривать общедоступную информацию без проверки подлинности. Администраторы иногда непреднамеренно разрешают посетителям, не прошедшим проверку подлинности, доступ к разделам веб-сайта, которые должны быть доступны только для уполномоченных сотрудников.
Компания Salesforce сообщила Кребсу, что предоставляет клиентам четкие инструкции по настройке сообщества Salesforce, чтобы обеспечить доступ к данным для гостей, не прошедших проверку подлинности. Компания перечислила ресурсы здесь, здесь и здесь.
Несколько человек оспорили это утверждение. Один из них — директор по информационной безопасности Вермонта Скотт Карби. Он сказал Кребсу, что его команда «разочарована либеральным характером платформы». Другим критиком является Дуг Мерретт, который два года назад впервые попытался привлечь внимание сообщества Salesforce к легкости неправильной настройки. В пятницу он объяснил проблему в статье под названием «Проблема безопасности сообществ Salesforce».
«Проблема заключалась в том, что вы могли «взломать» URL-адрес, чтобы увидеть стандартные страницы Salesforce — «Учетная запись», «Контакт», «Пользователь» и т. д., — написал Мерретт. «На самом деле это не было бы проблемой, за исключением того, что администратор не ожидал, что вы увидите стандартные страницы, потому что они не добавили объекты, связанные с навигацией сообщества Aura, и поэтому не создали соответствующие макеты для скрытия полей. они не хотели, чтобы пользователь видел."
На языке Salesforce под Aura понимаются многократно используемые компоненты пользовательского интерфейса, которые можно применять к выбранным частям веб-страницы, от одной строки текста до всего приложения.
Кребс сказал, что узнал об утечках от исследователя безопасности Чарана Акири, который выявил сотни организаций с неправильно настроенными сайтами Salesforce. Акири сказал, что из множества компаний и правительственных организаций, о которых он уведомил, только пять в конечном итоге решили проблемы. Ни один из них не был в государственном секторе.
Одной из организаций, о которых сообщил Кребс, было правительство Вашингтона, округ Колумбия, которое использует Salesforce Community как минимум для пяти общедоступных веб-сайтов DC Health и раскрывает конфиденциальную информацию. Исполняющий обязанности офицера по информационной безопасности округа сказал Кребсу, что он проанализировал выводы стороннего консультанта для расследования. Третья сторона, как сообщил Кребсу директор по информационной безопасности, указала, что сайты не подвержены потере данных.
Затем Кребс предоставил документ с номером социального страхования медицинского работника, который он скачал с сайта DC Health во время собеседования с директором по информационной безопасности. Затем CISO признает...
Согласно статье, опубликованной в пятницу изданием KrebsOnSecurity, серверы, на которых установлено программное обеспечение, продаваемое Salesforce, утекают конфиденциальные данные, которые обрабатываются государственными учреждениями, банками и другими организациями.
По сообщению Брайана Кребса, по меньшей мере пять отдельных сайтов, находящихся в ведении штата Вермонт, предоставили доступ к конфиденциальным данным любому лицу. Среди пострадавших была государственная программа помощи по безработице в связи с пандемией. В нем были раскрыты полные имена кандидатов, номера социального страхования, адреса, номера телефонов, адреса электронной почты и номера банковских счетов. Как и другие организации, предоставляющие публичный доступ к личным данным, Vermont использовала Salesforce Community — облачный программный продукт, позволяющий организациям быстро создавать веб-сайты.
Другим пострадавшим клиентом Salesforce стал банк Huntington Bank из Колумбуса, штат Огайо. Недавно он приобрел TCF Bank, который использовал Salesforce Community для обработки коммерческих кредитов. Доступные поля данных включали имена, адреса, номера социального страхования, должности, федеральные удостоверения личности, IP-адреса, среднемесячную зарплату и суммы кредита.
Штат Вермонт и Huntington Bank узнали об утечке, когда Кребс связался с ними для получения комментариев. В обоих случаях клиенты быстро закрыли публичный доступ к конфиденциальной информации.
На веб-сайтах сообщества Salesforce можно настроить требование аутентификации, чтобы ограниченное число авторизованных лиц могло получить доступ к конфиденциальным данным и внутренним ресурсам. Сайты также могут быть настроены таким образом, чтобы любой мог просматривать общедоступную информацию без проверки подлинности. Администраторы иногда непреднамеренно разрешают посетителям, не прошедшим проверку подлинности, доступ к разделам веб-сайта, которые должны быть доступны только для уполномоченных сотрудников.
Компания Salesforce сообщила Кребсу, что предоставляет клиентам четкие инструкции по настройке сообщества Salesforce, чтобы обеспечить доступ к данным для гостей, не прошедших проверку подлинности. Компания перечислила ресурсы здесь, здесь и здесь.
Несколько человек оспорили это утверждение. Один из них — директор по информационной безопасности Вермонта Скотт Карби. Он сказал Кребсу, что его команда «разочарована либеральным характером платформы». Другим критиком является Дуг Мерретт, который два года назад впервые попытался привлечь внимание сообщества Salesforce к легкости неправильной настройки. В пятницу он объяснил проблему в статье под названием «Проблема безопасности сообществ Salesforce».
«Проблема заключалась в том, что вы могли «взломать» URL-адрес, чтобы увидеть стандартные страницы Salesforce — «Учетная запись», «Контакт», «Пользователь» и т. д., — написал Мерретт. «На самом деле это не было бы проблемой, за исключением того, что администратор не ожидал, что вы увидите стандартные страницы, потому что они не добавили объекты, связанные с навигацией сообщества Aura, и поэтому не создали соответствующие макеты для скрытия полей. они не хотели, чтобы пользователь видел."
На языке Salesforce под Aura понимаются многократно используемые компоненты пользовательского интерфейса, которые можно применять к выбранным частям веб-страницы, от одной строки текста до всего приложения.
Кребс сказал, что узнал об утечках от исследователя безопасности Чарана Акири, который выявил сотни организаций с неправильно настроенными сайтами Salesforce. Акири сказал, что из множества компаний и правительственных организаций, о которых он уведомил, только пять в конечном итоге решили проблемы. Ни один из них не был в государственном секторе.
Одной из организаций, о которых сообщил Кребс, было правительство Вашингтона, округ Колумбия, которое использует Salesforce Community как минимум для пяти общедоступных веб-сайтов DC Health и раскрывает конфиденциальную информацию. Исполняющий обязанности офицера по информационной безопасности округа сказал Кребсу, что он проанализировал выводы стороннего консультанта для расследования. Третья сторона, как сообщил Кребсу директор по информационной безопасности, указала, что сайты не подвержены потере данных.
Затем Кребс предоставил документ с номером социального страхования медицинского работника, который он скачал с сайта DC Health во время собеседования с директором по информационной безопасности. Затем CISO признает...
Expand
Гетти Изображений
