Конфиденциальные данные просачиваются с серверов с программным обеспечением Salesforce

Согласно сообщению , опубликованному KrebsOnSecurity, с серверов, на которых работает программное обеспечение Salesforce, утекают конфиденциальные данные, которыми управляют государственные учреждения, банки и другие организации.

Конфиденциальные данные просачиваются с серверов с программным обеспечением Salesforce. Фото: СС0

По словам Брайана Кребса, по крайней мере пять отдельных сайтов, находящихся в ведении штата Вермонт, разрешали доступ к конфиденциальным данным любому. Среди таких ресурсов был сайт государственной программы помощи по безработице в связи с пандемией.

Он раскрывал полные имена заявителей, номера социального страхования, адреса, номера телефонов, адреса электронной почты и номера банковских счетов. Как и другие организации, предоставляющие публичный доступ к личным данным, администрация сайта использовала Salesforce Community, облачный программный продукт, разработанный для того, чтобы упростить организациям быстрое создание веб-сайтов.

Еще одним пострадавшим клиентом Salesforce был Huntington Bank из Колумбуса, штат Огайо. Недавно он приобрел TCF Bank, который использовал Salesforce Community для обработки коммерческих кредитов. Доступные поля данных включали имена, адреса, номера социального страхования, должности, федеральные идентификаторы, IP-адреса, среднемесячную заработную плату и суммы кредита.

И штат администрация Вермонта, и банка Хантингтон узнали об утечке, когда Кребс связался с ними для комментариев. В обоих случаях клиенты быстро закрыли публичный доступ к конфиденциальной информации.

На веб-сайтах сообщества Salesforce можно настроить требование проверки подлинности, чтобы ограниченное число уполномоченных лиц могло получить доступ к конфиденциальным данным и внутренним ресурсам. Сайты также можно настроить таким образом, чтобы любой мог получить доступ без проверки подлинности для просмотра общедоступной информации. Администраторы иногда непреднамеренно разрешают посетителям, не прошедшим проверку подлинности, доступ к разделам веб-сайта, предназначенным только для авторизованных сотрудников.

Salesforce сообщила Кребсу, что предоставляет клиентам четкие инструкции по настройке сообщества Salesforce, чтобы обеспечить доступ к данным для гостей, не прошедших проверку подлинности.

Несколько человек опровергли это утверждение. Один из них — директор по информационной безопасности Вермонта Скотт Карби. Он сказал Кребсу, что его команда «разочарована вседозволенностью платформы». Другим критиком является Дуг Мерретт, который два года назад впервые попытался рассказать об опсности неправильной настройки сообщества Salesforce. В пятницу он подробно остановился на проблеме в сообщении, озаглавленном « Проблема безопасности сообществ Salesforce ».

Из сообщения исследователя безопасности Дуга Меррета:

«Проблема заключалась в том, что вы можете «взломать» URL-адрес, чтобы увидеть стандартные страницы Salesforce — «Учетная запись», «Контакт», «Пользователь». На самом деле это не было бы проблемой, за исключением того, что администратор не ожидал, что вы увидите стандартные страницы, поскольку они не добавили объекты, связанные с навигацией сообщества Aura, и, следовательно, не создали соответствующие макеты страниц, чтобы скрыть поля, которые они не хотят, чтобы пользователь увидел».

Aura относится к многократно используемым компонентам пользовательского интерфейса, которые можно применять к выбранным частям веб-страницы, от одной строки текста до всего приложения.

Кребс сказал, что узнал об утечках от исследователя безопасности Чарана Акири, который выявил сотни организаций с неправильно настроенными сайтами Salesforce. Акири сказал, что из множества компаний и правительственных организаций, о которых он уведомил, только пять в конечном итоге устранили проблемы. Ни один из них не был в государственном секторе.

Одной из организаций, уведомленных Кребсом, было правительство Вашингтона, округ Колумбия, которое использует Salesforce Community как минимум для пяти общедоступных веб-сайтов DC Health и допускает утечку конфиденциальной информации. Временно исполняющий обязанности директора по информационной безопасности округа сказал Кребсу, что он ознакомился с выводами стороннего консультанта, привлеченного для расследования. Третья сторона, как сообщил Кребсу директор по информационным технологиям, сообщила, что сайты не подвержены потере данных.

Затем Кребс предоставил документ с номером социального страхования медицинского работника, который он загрузил из DC Health, когда брал интервью у директора по информационной безопасности. Директор по информационной безопасности признал, что его команда упустила из виду некоторые настройки конфигурации.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме