Salesforce müşterileri, hassas kurumsal, satıcı ve kullanıcı verilerini geride bırakarak sitelerini devre dışı bırakmadan terk ediyor.
Sorun, hizmetin “Topluluklar” olarak adlandırdığı, ortakların, satıcıların ve müşterilerin bir şirketin Salesforce ortamında işbirliği yapmasına izin veren meşgul sitelerde ortaya çıkar. Doğaları gereği, Topluluklar, yöneticiler yeterince dikkatli olmadığında açığa çıkabilecek, potansiyel olarak yüksek değerli ticari ve kişisel bilgiler içerir.
Bazen, örneğin şirketler, etki alanlarını yanlarında alarak Salesforce’tan başka sağlayıcılara geçerler. Ancak bunu yaptıklarında, birçoğu geride bıraktıklarını silmeyi unutuyor. Varonis’ten araştırmacılar, 31 Mayıs’ta yayınlanan bir raporda, bu unutulmuş Toplulukları “hayalet siteler” olarak adlandırıyorlar.
Hayalet siteler unutulmuş olabilir ama gizli hazineleri de yok değil. Varonis’in güvenlik araştırmacısı Nitay Bachrach, “Aynı web sitesi, aynı Topluluk,” diye vurguluyor, “ama artık işler değiştiğine göre, daha sorunlu. [the unerased data] herkes için kullanılabilir.”
Hayalet Siteler Nasıl Oluşturulur?
Her şirket iyi ve temiz bir URL ister. Örneğin, “Acme” adlı bir Salesforce müşterisi, “partners.acme.org/00d400.live.siteforce.com” adresindeki Topluluk sitesine işaret etmek için “partners.acme.org” özel alan adını seçebilir.
Acme bir gün başka bir sağlayıcı için Salesforce’tan ayrılmaya karar verirse, “partners.acme.org”u onlarla birlikte almayı seçebilir ve DNS kaydını örneğin AWS tarafından barındırılan yeni bir siteye işaret edecek şekilde değiştirebilir. Bu süreçte araştırmacılar, “birçok şirketin yalnızca DNS kayıtlarını değiştirmekle yetindiğini, Salesforce’taki özel etki alanını kaldırmadıklarını veya siteyi devre dışı bırakmadıklarını” buldular.
Basitçe ifade etmek gerekirse: URL taşınırken site, potansiyel olarak hassas tüm iletişimler, iş kayıtları ve diğer ticari ve kişisel bilgilerle varlığını sürdürür.
Ve işler daha da kötüye gidiyor: Salesforce, şirketlerin, paylaşım kurallarını kullanarak iş ortakları ve müşterilerle paylaşmak isteyebilecekleri belirli veri akışlarının yüklenmesini otomatikleştirmesini sağlıyor.
Varonis’in araştırma direktörü Or Emanuel, “Temel olarak, bir kural koyarsınız – koşullar belirlersiniz – ve bu koşulları karşılayan tüm veriler paylaşılır,” diye açıklıyor. “Ve bu yine de hayalet siteler için geçerli çünkü yine, Salesforce aradaki farkı bilmiyor. Bu nedenle veriler, gereksinimleri karşılamaya devam ettiği sürece korunur. [being sent out].”
Hayalet Sitelerin Getirdiği Riskler
Peki bu durumun sorunu ne? Ne de olsa hiçbir kötü niyetli aktör, bir şirketin mevcut Salesforce sitesiyle ilişkili kesin dahili etki alanını kolayca bilemez. Ancak, bu siteler yine de istismar edilebilir.
Araştırmacılar, “DNS kayıtlarını dizinleyen ve arşivleyen SecurityTrails ve diğer benzer araçlar gibi araçların, hayalet sitelerin tanımlanmasını çok daha kolay hale getirdiğine” dikkat çekti.
Ayrıca, Varonis analizine göre “hayalet siteler Salesforce’ta hâlâ etkin olduğundan, siteforce etki alanı hâlâ çözümleniyor, yani doğru koşullar altında kullanılabilir”. “Dolaysız bir GET isteği bir hatayla sonuçlanır – ancak erişim elde etmenin başka bir yolu vardır.”
Saldırganlar özellikle ana bilgisayar başlığını değiştirebilir: “Bu, Salesforce’u siteye “https://partners.acme.org/” olarak erişildiğine ve Salesforce’un siteyi saldırgana sunacağına inandıracak şekilde kandırır.”
Riske ek olarak, eski, modası geçmiş sitelerin daha az bakımlı olması ve bu nedenle daha az güvenli olması, saldırı kolaylığını artırıyor.
Sonuç olarak? Bir Salesforce sitesi artık aktif olmadığında veya ihtiyaç duyulmadığında şirketler her zaman devre dışı bırakmalıdır.
Aksi takdirde, yalnızca kendi verilerini değil, aynı zamanda Topluluklarına bağlanan ortakların ve kullanıcıların verilerini de açıkta bırakırlar. Ve elbette, ortaklar ve kullanıcılar, yalnızca bağlandıkları siteleri hesaba katma ve devre dışı bırakma konusunda aynı yeteneğe sahip değildir.
“Bu nedenle bu [also] bir risk yönetimi anlayışı,” diyor Bachrach, herhangi bir potansiyel karmaşaya kapılan üçüncü şahıslar için.