Pazar, Eylül 8, 2024
Ana SayfaTeknoloji HaberleriSalesforce yazılımı çalıştıran sunuculardan hassas veriler sızdırılıyor

Salesforce yazılımı çalıştıran sunuculardan hassas veriler sızdırılıyor

Asma kilit sıralarının stilize edilmiş görüntüsü.

KrebsOnSecurity tarafından Cuma günü yayınlanan bir gönderiye göre, Salesforce tarafından satılan yazılımları çalıştıran sunucular devlet kurumları, bankalar ve diğer kuruluşlar tarafından yönetilen hassas verileri sızdırıyor.

Brian Krebs, Vermont eyaleti tarafından işletilen en az beş ayrı sitenin hassas verilere herkesin erişmesine izin verdiğini bildirdi. Eyaletin Pandemik İşsizlik Yardımı programı etkilenenler arasındaydı. Başvuranların tam adlarını, Sosyal Güvenlik numaralarını, adreslerini, telefon numaralarını, e-posta adreslerini ve banka hesap numaralarını ifşa etti. Özel verilere genel erişim sağlayan diğer kuruluşlar gibi, Vermont da kuruluşların hızlı bir şekilde web siteleri oluşturmasını kolaylaştırmak için tasarlanmış bulut tabanlı bir yazılım ürünü olan Salesforce Community’yi kullandı.

Etkilenen bir diğer Salesforce müşterisi de Columbus, Ohio merkezli Huntington Bank’tı. Yakın zamanda, ticari kredileri işlemek için Salesforce Topluluğunu kullanan TCF Bank’ı satın aldı. Açıklanan veri alanları arasında isimler, adresler, Sosyal Güvenlik numaraları, unvanlar, federal kimlikler, IP adresleri, ortalama aylık bordrolar ve kredi tutarları yer alıyordu.

Hem Vermont eyaleti hem de Huntington Bank, Krebs yorum için onlarla temasa geçtiğinde sızıntıları öğrendi. Her iki durumda da müşteriler, hassas bilgilere kamu erişimini hızla kaldırdı.

Salesforce Topluluğu web siteleri, sınırlı sayıda yetkili kişinin hassas verilere ve dahili kaynaklara erişebilmesi için kimlik doğrulama gerektirecek şekilde yapılandırılabilir. Siteler ayrıca herkese açık bilgileri görüntülemek için kimliği doğrulanmamış erişime izin verecek şekilde ayarlanabilir. Yöneticiler bazen yanlışlıkla kimliği doğrulanmamış ziyaretçilerin yalnızca yetkili çalışanlara açık olması amaçlanan web sitesi bölümlerine erişmesine izin verir.

Salesforce, Krebs’e, kimliği doğrulanmamış misafirlerin hangi verilere erişebildiğinden emin olmak için Salesforce Community’nin nasıl yapılandırılacağı konusunda müşterilere açık rehberlik sağladığını söyledi. Şirket burada, burada ve burada kaynaklara işaret etti.

Birkaç kişi bu iddiayı geri itti. Bir kişi, Vermont’un Baş Bilgi Güvenliği Sorumlusu Scott Carbee. Krebs’e ekibinin “platformun müsamahakar doğası nedeniyle hüsrana uğradığını” söyledi. Başka bir eleştirmen, Salesforce Community’yi yanlış yapılandırmanın kolaylığı konusunda ilk kez iki yıl önce farkındalık yaratmaya çalışan Doug Merrett. Cuma günü, Salesforce Toplulukları Güvenlik Sorunu başlıklı bir gönderide sorunu ayrıntılarıyla anlattı.

Merrett, “Sorun, standart Salesforce sayfalarını – Hesap, İlgili Kişi, Kullanıcı vb. – görmek için URL’yi ‘hackleyebilmeniz’di” diye yazdı. “Yönetici, Aura topluluk navigasyonuyla ilişkili nesneleri eklemediğinden ve bu nedenle yapmadıkları alanları gizlemek için uygun sayfa düzenleri oluşturmadığından, standart sayfaları görmenizi beklememesi dışında bu gerçekten bir sorun olmazdı. kullanıcının görmesini istiyorum.”

Salesforce tabiriyle Aura, kullanıcı arayüzünde tek bir metin satırından tüm uygulamaya kadar bir web sayfasının seçilen bölümlerine uygulanabilen yeniden kullanılabilir bileşenleri ifade eder.

Krebs, sızıntıları yüzlerce kuruluşu yanlış yapılandırılmış Salesforce siteleriyle tanımlayan güvenlik araştırmacısı Charan Akiri’den öğrendiğini söyledi. Akiri, bildirdiği çok sayıda şirket ve devlet kuruluşundan yalnızca beşinin sorunları çözdüğünü söyledi. Bunların hiçbiri devlet sektöründe değildi.

Krebs’in bildirdiği bir kuruluş, en az beş kamuya açık DC Health web sitesi için Salesforce Topluluğunu kullanan ve hassas bilgileri sızdıran Washington DC hükümetiydi. Bölgenin geçici bilgi güvenliği sorumlusu Krebs’e bulguları araştırmak için getirilen üçüncü taraf bir danışman tarafından yürüttüğünü söyledi. CISO, Krebs’e üçüncü tarafın sitelerin veri kaybına karşı savunmasız olmadığını bildirdiğini söyledi.

Krebs daha sonra CISO ile görüşürken DC Health’ten indirdiği bir sağlık uzmanının Sosyal Güvenlik numarasını gösteren bir belge verdi. CISO daha sonra ekibinin bazı yapılandırma ayarlarını gözden kaçırdığını kabul etti.

RELATED ARTICLES

Popüler Konular