1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. Muchos Sitios Públicos de Salesforce Filtran Datos Privados

Muchos Sitios Públicos de Salesforce Filtran Datos Privados

Un número impactante de organizaciones, incluidos bancos y proveedores de atención médica, están filtrando información privada y confidencial de su público Comunidad de Salesforce sitios web, KrebsOnSecurity ha aprendido. Todas las exposiciones de datos provienen de una configuración incorrecta en la comunidad de Salesforce que permite a un usuario no autenticado acceder a registros que solo deberían estar disponibles después de iniciar sesión.

Un investigador descubrió que DC Health tenía cinco sitios de la comunidad de Salesforce que exponían datos.

Salesforce Community es un producto de software basado en la nube ampliamente utilizado que facilita a las organizaciones la creación rápida de sitios web. Los clientes pueden acceder a un sitio web de la Comunidad de Salesforce de dos maneras: acceso autenticado (que requiere inicio de sesión) y acceso de usuario invitado (no es necesario iniciar sesión). La función de acceso de invitado permite a los usuarios no autenticados ver contenido y recursos específicos sin necesidad de iniciar sesión.

Sin embargo, a veces los administradores de Salesforce otorgan por error a los usuarios invitados acceso a recursos internos, lo que puede hacer que usuarios no autorizados accedan a la información privada de una organización y dar lugar a posibles fugas de datos.

Hasta que fue contactado por este reportero el lunes, el estado de Vermont tenía al menos cinco sitios comunitarios de Salesforce separados que permitían el acceso de invitados a datos confidenciales, incluido un programa de Asistencia por Desempleo Pandémico que exponía el nombre completo, el número de Seguro Social, la dirección, el número de teléfono, el correo electrónico y el número de cuenta bancaria del solicitante.

Este sitio de la comunidad de Salesforce mal configurado del estado de Vermont estaba filtrando datos de solicitudes de préstamos de asistencia pandémica, incluidos nombres, números de seguro social, direcciones de correo electrónico e información de cuentas bancarias.

Director de Seguridad de la Información de Vermont Scott Carbee dijo que sus equipos de seguridad han estado llevando a cabo una revisión completa de sus sitios de la comunidad de Salesforce, y ya encontraron un sitio adicional de Salesforce operado por el estado que también estaba mal configurado para permitir el acceso de invitados a información confidencial.

"Mi equipo está frustrado por la naturaleza permisiva de la plataforma", dijo Carbee.

Carbee dijo que los sitios vulnerables se crearon rápidamente en respuesta a la pandemia de Coronavirus y no se sometieron a su proceso normal de revisión de seguridad.

"Durante la pandemia, en gran medida estábamos levantando toneladas de aplicaciones, y digamos que muchas de ellas no tenían el beneficio total de nuestro proceso de desarrollo/operaciones", dijo Carbee. "En nuestro caso, no teníamos desarrolladores nativos de Salesforce cuando de repente tuvimos que levantar todos estos sitios.”

A principios de esta semana, KrebsOnSecurity notificó a Columbus, Ohio Banco de Huntington que ha sido adquirido recientemente Banco TCF tenía un sitio web de la comunidad de Salesforce que filtraba documentos relacionados con préstamos comerciales. Los campos de datos en esas solicitudes de préstamo incluían nombre, dirección, número completo de Seguro Social, título, identificación federal, dirección IP, nómina mensual promedio y monto del préstamo.

Huntington Bank ha deshabilitado el sitio web de TCF Bank Salesforce con fugas. Matthew Jennings, subdirector de seguridad de la información en Huntington, dijo que la compañía aún estaba investigando cómo ocurrió la mala configuración, cuánto duró y cuántos registros pudieron haber sido expuestos.

KrebsOnSecurity se enteró de las filtraciones por un investigador de seguridad Charan Akiri, quien dijo que escribió un programa que identificó a cientos de otras organizaciones que ejecutan páginas de Salesforce mal configuradas. Pero Akiri dijo que ha sido cauteloso de investigar demasiado y que ha tenido dificultades para obtener respuestas de la mayoría de las organizaciones que ha notificado hasta la fecha.

"En enero y febrero de 2023, me puse en contacto con organizaciones gubernamentales y varias empresas, pero no recibí ninguna respuesta de estas organizaciones", dijo Akiri. "Para abordar el problema más a fondo, me comuniqué con varios CISO en LinkedIn y Twitter. Como resultado, cinco compañías finalmente solucionaron el problema. Desafortunadamente, no recibí ninguna respuesta de las organizaciones gubernamentales.”

El problema sobre el que Akiri ha estado tratando de crear conciencia salió a la luz en agosto de 2021, cuando el investigador de seguridad Aaron Costello publicó una publicación en el blog que explica cómo se podrían explotar las configuraciones incorrectas en los sitios de la comunidad de Salesforce para revelar datos confidenciales (Costello publicó posteriormente una publicación de seguimiento que detalla cómo bloquear sitios de la comunidad de Salesforce).

El lunes, KrebsOnSecurity utilizó los hallazgos de Akiri para notificar Washington D. C. administradores de la ciudad que al menos cinco Salud de DC los sitios web filtraban información confidencial. El sitio web de la comunidad One DC Health Salesforce diseñado para profesionales de la salud que buscan renovar licencias con documentos filtrados de la ciudad que incluyen el nombre completo, la dirección, el número de Seguro Social, la fecha de nacimiento, el número y vencimiento de la licencia del solicitante, y más.

Akiri dijo que notificó al gobierno de Washington DC en febrero sobre sus hallazgos, pero no recibió respuesta. Contactado por KrebsOnSecurity, Director Interino de Seguridad de la Información Mike Rupert inicialmente dijo que el Distrito había contratado a un tercero para investigar, y que el tercero confirmó que los sistemas de TI del Distrito eran no vulnerable a la pérdida de datos por el problema de configuración de Salesforce informado.

Pero después de que se le presentó un documento que incluía el número de Seguro Social de un profesional de la salud en DC que se descargó en tiempo real del sitio web de DC Health public Salesforce, Rupert reconoció que su equipo había pasado por alto algunas configuraciones.

Los administradores de salud de Washington, DC todavía están dolidos por una violación de datos a principios de este año en el intercambio de seguros de salud Enlace de Salud de DC, que expuso información personal de más de 56,000 usuarios, incluidos muchos miembros del Congreso.

Esos datos luego terminaron a la venta en un foro de delitos cibernéticos de primer nivel. La Prensa Asociada informes que la violación de DC Health Link también fue el resultado de un error humano, y dijo que una investigación reveló que la causa fue un servidor de DC Health Link que estaba "mal configurado para permitir el acceso a los informes en el servidor sin la autenticación adecuada".”

Salesforce dice que las exposiciones de datos no son el resultado de una vulnerabilidad inherente a la plataforma de Salesforce, pero pueden ocurrir cuando los permisos de control de acceso de los clientes están mal configurados.

"Como se comunicó anteriormente a todos los clientes de Experience Site y Sites, recomendamos utilizar el Paquete de Informes de Acceso de Usuarios Invitados para ayudar a revisar los permisos de control de acceso para usuarios no autenticados", dice un Salesforce aviso de sept. 2022. "Además, sugerimos revisar lo siguiente Artículo de Ayuda, Prácticas Recomendadas y Consideraciones al Configurar el Perfil de Usuario Invitado.”

En una declaración escrita, Salesforce dijo que se centra activamente en la seguridad de datos para organizaciones con usuarios invitados, y que continúa lanzando "herramientas y orientación sólidas para nuestros clientes", que incluyen:

Informe de Acceso de Usuarios Invitados 

Controle Qué Usuarios Pueden Ver Los Usuarios de Experience Cloud Site

Prácticas Recomendadas y Consideraciones Al Configurar el Perfil de Usuario Invitado

"También hemos continúa actualizando nuestras políticas de seguridad para Usuarios Invitados, comenzando con nuestro lanzamiento de primavera '21 y más en verano '23", se lee en el comunicado. "Por último, continuamos comunicándonos de manera proactiva con los clientes para ayudarlos a comprender las capacidades disponibles para ellos y cómo pueden proteger mejor su instancia de Salesforce para cumplir con sus obligaciones de seguridad, contractuales y regulatorias.”



>>Más