تقوم الخوادم التي تشغل البرامج التي تبيعها Salesforce بتسريب البيانات الحساسة التي تديرها الوكالات الحكومية والبنوك والمؤسسات الأخرى ، وفقًا لما نشرته شركة KrebsOnSecurity يوم الجمعة.
أفاد بريان كريبس أن خمسة مواقع منفصلة على الأقل تديرها ولاية فيرمونت سمحت بالوصول إلى البيانات الحساسة لأي شخص. وكان برنامج الولاية لمساعدة البطالة الوبائية من بين المتضررين. يعرض أسماء المتقدمين الكاملة وأرقام الضمان الاجتماعي والعناوين وأرقام الهواتف وعناوين البريد الإلكتروني وأرقام الحسابات المصرفية. مثل المنظمات الأخرى التي توفر وصولاً عامًا إلى البيانات الخاصة ، استخدم Vermont مجتمع Salesforce ، وهو منتج برمجي قائم على السحابة مصمم ليسهل على المؤسسات إنشاء مواقع الويب بسرعة.
كان عميل Salesforce الآخر المتأثر هو بنك هنتنغتون في كولومبوس بولاية أوهايو. استحوذت مؤخرًا على TCF Bank ، والذي استخدم مجتمع Salesforce لمعالجة القروض التجارية. تتضمن حقول البيانات المكشوفة الأسماء والعناوين وأرقام الضمان الاجتماعي والعناوين والمعرفات الفيدرالية وعناوين IP ومتوسط كشوف المرتبات الشهرية ومبالغ القروض.
علمت كل من ولاية فيرمونت وهنتنغتون بانك بالتسريبات عندما اتصل بها كريبس للتعليق. في كلتا الحالتين ، أزال العملاء بسرعة وصول الجمهور إلى المعلومات الحساسة.
يمكن تكوين مواقع مجتمع Salesforce لطلب المصادقة بحيث يمكن لعدد محدود من الأشخاص المصرح لهم الوصول إلى البيانات الحساسة والموارد الداخلية. يمكن أيضًا إعداد المواقع للسماح بالوصول غير المصدق لأي شخص لعرض المعلومات العامة. يسمح المسؤولون أحيانًا عن غير قصد للزوار غير المصدقين بالوصول إلى أقسام موقع الويب المقصود أن تكون متاحة فقط للعاملين المصرح لهم.
أخبرت Salesforce كريبس أنها توفر للعملاء إرشادات واضحة حول كيفية تكوين مجتمع Salesforce لضمان الوصول إلى البيانات التي يمكن الوصول إليها من قبل الضيوف غير المصادق عليهم. أشارت الشركة إلى الموارد هنا وهنا وهنا.
العديد من الناس رفضوا هذا التأكيد. أحد الأشخاص هو سكوت كاربي ، كبير مسؤولي أمن المعلومات في ولاية فيرمونت. وقال لكريبس إن فريقه “محبط من الطبيعة المتساهلة للمنصة”. ناقد آخر هو دوج ميريت ، الذي حاول أولاً رفع مستوى الوعي حول سهولة تكوين مجتمع Salesforce بشكل خاطئ قبل عامين. يوم الجمعة ، تحدث بالتفصيل عن المشكلة في منشور بعنوان مشكلة أمان مجتمعات Salesforce.
كتب ميريت: “كانت المشكلة أنك قادر على” اختراق “عنوان URL لرؤية صفحات Salesforce القياسية – الحساب ، جهة الاتصال ، المستخدم ، وما إلى ذلك”. “لن تكون هذه مشكلة في الواقع ، باستثناء أن المسؤول لم يتوقع منك أن ترى الصفحات القياسية لأنها لم تقم بإضافة الكائنات المرتبطة بتصفح مجتمع Aura ، وبالتالي لم يقم بإنشاء تخطيطات صفحات مناسبة لإخفاء الحقول التي لم يقوموا بها تريد أن يراها المستخدم “.
في لغة Salesforce ، تشير Aura إلى المكونات القابلة لإعادة الاستخدام في واجهة المستخدم التي يمكن تطبيقها على أجزاء محددة من صفحة الويب ، من سطر نصي واحد إلى تطبيق بأكمله.
قال كريبس إنه علم بالتسريبات من الباحث الأمني تشاران أكيري ، الذي حدد مئات المنظمات ذات مواقع Salesforce التي تم تكوينها بشكل خاطئ. قال العكيري إنه من بين الشركات والمؤسسات الحكومية المتعددة التي أبلغها ، قامت خمس شركات فقط بإصلاح المشاكل في نهاية المطاف. لم يكن أي من هؤلاء في القطاع الحكومي.
كانت إحدى المنظمات التي أخطرت بها كريبس هي حكومة واشنطن العاصمة ، والتي تستخدم مجتمع Salesforce لما لا يقل عن خمسة مواقع عامة على الأقل لـ DC Health وكانت تقوم بتسريب معلومات حساسة. وقال كبير مسؤولي أمن المعلومات المؤقت في المنطقة لكريبس إنه نشر النتائج التي توصل إليها مستشار من طرف ثالث تم إحضاره للتحقيق. أبلغ الطرف الثالث ، CISO ، لكريبس ، أن المواقع لم تكن عرضة لفقدان البيانات.
قدم كريبس بعد ذلك مستندًا يوضح رقم الضمان الاجتماعي لأخصائي صحي قام بتنزيله من DC Health أثناء إجراء مقابلة مع CISO. ثم أقر CISO بأن فريقه قد أغفل بعض إعدادات التكوين.
اكتشاف المزيد من عرب نيوز للتقنية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
