Veri sızdıran Salesforce siteleri, araştırmacıların daha önce uyardığı bir şeydi. Ancak siber güvenlik araştırmacıları, Salesforce sitelerinin şimdiye kadar görülmemiş oranlarda veri sızdırdığını keşfetti.
Araştırmacı Charan Akiri’ye atıfta bulunan bir KrebsOnSecurity raporunda, bankalar ve sağlık hizmeti sağlayıcıları da dahil olmak üzere çok sayıda kuruluşun, halka açık Salesforce Community web sitelerinden özel ve hassas bilgileri sızdırdığı tespit edildi.
Rapora göre, açığa çıkan veriler, Salesforce Community’de kimliği doğrulanmamış bir kullanıcının yalnızca oturum açtıktan sonra kullanılabilir olması gereken kayıtlara erişmesine izin veren bir yanlış yapılandırmadan kaynaklanıyor.
Müşteriler, bir Salesforce Community web sitesine iki şekilde erişebilir: oturum açmayı gerektiren kimliği doğrulanmış erişim ve oturum açmayı gerektirmeyen konuk kullanıcı erişimi. Konuk erişimi özelliği, kimliği doğrulanmamış kullanıcıların oturum açmaya gerek kalmadan belirli içerik ve kaynakları görüntülemesine olanak tanır.
Ancak bazen Salesforce yöneticileri yanlışlıkla konuk kullanıcılara dahili kaynaklara erişim izni verir; bu, yetkisiz kullanıcıların bir kuruluşun özel bilgilerine erişmesine ve olası veri sızıntılarına yol açabilir.
Salesforce sitelerinin veri sızdırdığı konusunda uyarılan şirket, KrebsOnSecurity’ye veri ifşalarının Salesforce platformuna özgü bir güvenlik açığının sonucu olmadığını, daha ziyade müşterilerin erişim kontrol izinleri yanlış yapılandırıldığında ortaya çıkabileceğini söyledi.
Veri Sızdıran Salesforce Siteleri: Daha önce tespit edildi
Salesforce sitelerinin veri sızdırmasıyla ilgili bu sorun, Ağustos 2021’de güvenlik araştırmacısı Aaron Costello’nun, Salesforce Community sitelerindeki yanlış yapılandırmalardan hassas verileri ortaya çıkarmak için nasıl yararlanılabileceğini açıklayan bir blog yazısı yayınladığında ön plana çıkarıldı.
Ekim 2021’de siber güvenlik firması Varonis, yanlış yapılandırılmış Salesforce Community’den kaynaklanan potansiyel güvenlik tehditleri konusunda uyarıda bulundu.
Varonis raporuna göre bu güvenlik açığı, anonim kullanıcıların müşteri listeleri, destek talepleri ve çalışan e-posta adresleri gibi hassas bilgiler içeren nesneleri sorgulamasına olanak verebilir.
Son zamanlarda araştırmacı Charan Akiri, yanlış yapılandırılmış Salesforce sayfaları çalıştıran çok sayıda başka kuruluş buldu. Bu tür yüzlerce kuruluşu belirleyen bir program yazdı, ancak bugüne kadar bildirdiği kuruluşların çoğundan yanıt almakta güçlük çekti.
Ocak ve Şubat 2023’te devlet kurumları ve birkaç şirketle temasa geçti ancak bu kuruluşlardan herhangi bir yanıt alamadı. Akiri, sorunu daha ayrıntılı bir şekilde ele almak için LinkedIn ve Twitter’daki birkaç CISO’ya ulaştı ve sonuçta beş şirket sorunu çözdü. Ancak resmi kurumlardan herhangi bir yanıt gelmedi.
Akiri, Pazartesi günü Washington DC şehir yöneticilerine en az beş farklı kamu DC Health web sitesinin hassas bilgileri sızdırdığını bildirdi.
Ruhsatlarını şehirle yenilemek isteyen sağlık profesyonelleri için tasarlanmış bir DC Health Salesforce Community web sitesi, başvuranın tam adını, adresini, Sosyal Güvenlik numarasını, doğum tarihini, ehliyet numarasını ve son kullanma tarihini ve daha fazlasını içeren belgeleri sızdırdı.
Raporda, Akiri’nin Washington DC hükümetine bulgularını Şubat ayında bildirdiği ancak herhangi bir yanıt almadığı belirtildi.
Salesforce Siteleri Veri Sızdırıyor: Olay doğrulandı
KrebsOnSecurity, Akiri’nin bulgularını Columbus, Ohio merkezli Huntington Bank’a yakın zamanda satın aldığı TCF Bank’ın ticari kredilerle ilgili belgeleri sızdıran bir Salesforce Community web sitesine sahip olduğunu bildirmek için kullandı.
Sızıntı, ad, adres, tam Sosyal Güvenlik numarası, unvan, federal kimlik, IP adresi, ortalama aylık maaş bordrosu ve kredi tutarı gibi hassas verileri açığa çıkardı.
KrebsOnSecurity ile iletişime geçene kadar, Vermont eyaleti, başvuranın tam adını, Sosyal Güvenlik numarasını, adresini, telefon numarasını, e-postasını ifşa eden bir Pandemik İşsizlik Yardımı programı da dahil olmak üzere konukların hassas verilere erişmesine izin veren en az beş ayrı Salesforce Topluluk sitesine sahipti. ve banka hesap numarası.
Vermont’un Baş Bilgi Güvenliği Sorumlusu Scott Carbee, KrebsOnSecurity’ye güvenlik ekiplerinin Salesforce Community sitelerini tam olarak incelediğini ve eyalet tarafından işletilen ve yine konukların hassas bilgilere erişimine izin verecek şekilde yanlış yapılandırılmış bir Salesforce sitesi daha bulduğunu söyledi.
Carbee, savunmasız sitelerin hepsinin Coronavirüs pandemisine yanıt olarak hızla oluşturulduğunu ve normal güvenlik inceleme sürecine tabi tutulmadığını belirtti.
Yanıt olarak Salesforce, kimliği doğrulanmamış kullanıcılar için erişim kontrolü izinlerinin incelenmesine yardımcı olması için Konuk Kullanıcı Erişim Raporu Paketinin kullanılmasını önerdi.
Ek olarak, Konuk Kullanıcı Profilini Yapılandırırken En İyi Uygulamalar ve Dikkate Alınması Gereken Noktalar adlı şu Yardım makalesini incelemenizi önerdiler.