1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. De nombreux Sites Publics Salesforce Divulguent des Données Privées

De nombreux Sites Publics Salesforce Divulguent des Données Privées

Un nombre choquant d'organisations — y compris des banques et des prestataires de soins de santé-divulguent des informations privées et sensibles à leur public Communauté Salesforce sites Web, KrebsOnSecurity a appris. Les expositions de données découlent toutes d'une mauvaise configuration dans la communauté Salesforce qui permet à un utilisateur non authentifié d'accéder à des enregistrements qui ne devraient être disponibles qu'après la connexion.

Un chercheur a découvert que DC Health disposait de cinq sites communautaires Salesforce exposant des données.

Salesforce Community est un logiciel basé sur le cloud largement utilisé qui permet aux organisations de créer facilement et rapidement des sites Web. Les clients peuvent accéder à un site Web de la communauté Salesforce de deux manières: accès authentifié (nécessitant une connexion) et accès utilisateur invité (aucune connexion requise). La fonctionnalité d'accès invité permet aux utilisateurs non authentifiés d'afficher du contenu et des ressources spécifiques sans avoir besoin de se connecter.

Cependant, parfois, les administrateurs Salesforce accordent par erreur aux utilisateurs invités l'accès aux ressources internes, ce qui peut amener des utilisateurs non autorisés à accéder aux informations privées d'une organisation et entraîner des fuites de données potentielles.

Jusqu'à ce que je sois contacté par ce journaliste lundi, l'État de Vermont, États-Unis avait au moins cinq sites communautaires Salesforce distincts qui permettaient aux invités d'accéder à des données sensibles, y compris un programme d'aide au chômage en cas de pandémie qui exposait le nom complet, le numéro de sécurité sociale, l'adresse, le numéro de téléphone, l'e-mail et le numéro de compte bancaire du demandeur.

Ce site communautaire Salesforce mal configuré de l'État du Vermont divulguait des données de demande de prêt d'aide en cas de pandémie, y compris les noms, les numéros de sécurité sociale, l'adresse e-mail et les informations de compte bancaire.

Directeur de la Sécurité de l'Information du Vermont Auteur: Scott Carbee il a déclaré que ses équipes de sécurité avaient procédé à un examen complet de leurs sites communautaires Salesforce et avaient déjà trouvé un site Salesforce supplémentaire exploité par l'État qui avait également été mal configuré pour permettre aux invités d'accéder à des informations sensibles.

” Mon équipe est frustrée par la nature permissive de la plateforme", a déclaré Carbee.

Carbee a déclaré que les sites vulnérables avaient tous été créés rapidement en réponse à la pandémie de coronavirus et n'étaient pas soumis à leur processus normal d'examen de la sécurité.

“Pendant la pandémie, nous avons en grande partie résisté à des tonnes d'applications, et disons simplement que beaucoup d'entre elles n'ont pas bénéficié pleinement de notre processus de développement/opérations”, a déclaré Carbee. “Dans notre cas, nous n'avions aucun développeur Salesforce natif lorsque nous avons dû soudainement mettre en place tous ces sites.”

Plus tôt cette semaine, KrebsOnSecurity a informé Columbus, dans l'Ohio Banque Huntington qu'il a récemment acquis Banque du FCT avait un site Web de la communauté Salesforce qui divulguait des documents liés aux prêts commerciaux. Les champs de données de ces demandes de prêt comprenaient le nom, l'adresse, le numéro de sécurité sociale complet, le titre, la pièce d'identité fédérale, l'adresse IP, la masse salariale mensuelle moyenne et le montant du prêt.

Huntington Bank a désactivé le site Web Salesforce de la Banque TCF qui fuit. Par Matthew Jennings, directeur adjoint de la sécurité de l'information chez Huntington, a déclaré que la société enquêtait toujours sur la manière dont la mauvaise configuration s'est produite, combien de temps elle a duré et combien d'enregistrements ont pu être exposés.

KrebsOnSecurity a appris les fuites d'un chercheur en sécurité Jean-Pierre Akiri, qui a déclaré avoir écrit un programme qui identifiait des centaines d'autres organisations exécutant des pages Salesforce mal configurées. Mais Akiri a déclaré qu'il se méfiait d'aller trop loin et qu'il avait eu du mal à obtenir des réponses de la plupart des organisations qu'il avait notifiées à ce jour.

” En janvier et février 2023, j'ai contacté des organisations gouvernementales et plusieurs entreprises, mais je n'ai reçu aucune réponse de ces organisations", a déclaré Akiri. "Pour approfondir le problème, j'ai contacté plusieurs RSSI sur LinkedIn et Twitter. En conséquence, cinq entreprises ont finalement résolu le problème. Malheureusement, je n'ai reçu aucune réponse des organisations gouvernementales.”

Le problème sur lequel Akiri a tenté de sensibiliser est apparu au premier plan en août 2021, lorsque le chercheur en sécurité Jean-François Costello publication d'un article de blog expliquant comment les erreurs de configuration dans les sites de la communauté Salesforce pourraient être exploitées pour révéler des données sensibles (Costello a ensuite publié un article de suivi détaillant comment verrouiller les sites de la communauté Salesforce).

Lundi, KrebsOnSecurity a utilisé les conclusions d'Akiri pour notifier Washington D. C. les administrateurs municipaux qui au moins cinq publics différents DC Santé les sites Web divulguaient des informations sensibles. Un site Web communautaire DC Health Salesforce conçu pour les professionnels de la santé cherchant à renouveler des licences avec des documents divulgués par la ville comprenant le nom complet, l'adresse, le numéro de sécurité sociale, la date de naissance, le numéro de licence et l'expiration du demandeur, etc.

Akiri a déclaré qu'il avait informé le gouvernement de Washington DC en février de ses conclusions, mais qu'il n'avait reçu aucune réponse. Joint par KrebsOnSecurity, Directeur intérimaire de la sécurité de l'Information Mike Rupert a écrit: initialement, le District avait engagé un tiers pour enquêter, et ce tiers a confirmé que les systèmes informatiques du district étaient non vulnérable à la perte de données due au problème de configuration signalé de Salesforce.

Mais après avoir reçu un document comprenant le numéro de sécurité sociale d'un professionnel de la santé à Washington qui a été téléchargé en temps réel à partir du site Web Salesforce de DC Health Public, Rupert a reconnu que son équipe avait négligé certains paramètres de configuration.

Les administrateurs de la santé de Washington, DC sont encore mal à l'aise à cause d'une violation de données plus tôt cette année à la bourse d'assurance maladie Lien Santé DC, qui a exposé des informations personnelles pour plus de 56 000 utilisateurs, dont de nombreux membres du Congrès.

Ces données ont ensuite été vendues sur un forum de premier plan sur la cybercriminalité. La Presse Associée rapports que la violation du lien de santé DC était également le résultat d'une erreur humaine, et a déclaré qu'une enquête avait révélé que la cause était un serveur de lien de santé DC qui était “mal configuré pour permettre l'accès aux rapports sur le serveur sans authentification appropriée.”

Salesforce indique que les expositions aux données ne sont pas le résultat d'une vulnérabilité inhérente à la plate-forme Salesforce, mais qu'elles peuvent survenir lorsque les autorisations de contrôle d'accès des clients sont mal configurées.

"Comme précédemment communiqué à tous les clients du Site d'expérience et des Sites, nous vous recommandons d'utiliser le Package de Rapport d'Accès Utilisateur Invité pour aider à examiner les autorisations de contrôle d'accès pour les utilisateurs non authentifiés”, lit un Salesforce avis de sept. 2022. "De plus, nous suggérons d'examiner les éléments suivants Article d'aide, Bonnes pratiques et Considérations Lors de la configuration du profil d'utilisateur Invité.”

Dans une déclaration écrite, Salesforce a déclaré qu'il se concentrait activement sur la sécurité des données pour les organisations avec des utilisateurs invités, et qu'il continuait à publier “des outils et des conseils robustes pour nos clients", notamment:

Rapport d'Accès des Utilisateurs Invités 

Contrôlez L'Expérience Des Utilisateurs Que Les Utilisateurs Du Site Cloud Peuvent Voir

Meilleures pratiques et considérations Lors de la Configuration du Profil d'utilisateur Invité

“Nous avons aussi continué à mettre à jour nos politiques de sécurité des utilisateurs invités, à commencer par notre version du printemps 21 et d'autres à venir à l'été 23”, indique le communiqué. "Enfin, nous continuons de communiquer de manière proactive avec les clients pour les aider à comprendre les fonctionnalités à leur disposition et la meilleure façon de sécuriser leur instance de Salesforce pour respecter leurs obligations en matière de sécurité, contractuelles et réglementaires.”



>>Plus