דו”ח של VARONIS

סיכון לדליפת מידע מיומני אאוטלוק וגוגל, עקב באג בהגדרות משתמש אורח של Salesforce

דו”ח של Varonis מזהיר מפני סיכון לדליפת מידע מיומני אאוטלוק וגוגל עקב באג בהגדרות משתמש אורח של Salesforce.

שילוב של תקלה והגדרות אבטחה לקויות במערכת Salseforce אפשרה זליגת מידע פנימי של מספר רב של חברות וזאת ללא צורך בנגישות מוקדמת מצד התוקף. דו”ח סיכונים חדש שפרסמה חברת אבטחת המידע והביג דאטה Varonis מזהיר ארגונים המשתמשים ב-Salesforce Communities וב-Einstein Activity Capture, מפני חשש מחשיפה לא מודעת של נתונים המצויים ביומני  Outlook ו-Google של מנהל המערכת.  

הסיבה היא באג שגילה נתאי בכרך, מצוות המחקר של Varonis, ונתן לו את השם “חור התולעת של איינשטיין” (Einstein’s Wormhole), על שם הכלי שגרם לפירצת אבטחה – Einstein Activity Capture.

“יומן הפגישות יכול להכיל תוכן רגיש ביותר, כגון שמות משתתפים, כתובות מייל, כתובות אתרים, סיסמאות לפגישות, סדר יום, קבצים מצורפים ותשובות מייל שנשלחות למארגן. הבעיה דווחה לחברת Salesforce שזיהתה מיד את חומרת הבעיה וטיפלה בה במקצועיות ובמהירות. עם זאת, במקרה בו הארגון יצר את קהילת ה-Salesforce שלו לפני קיץ 2021 – עליו לתקן את אירועי היומן החשופים”, נכתב בדו”ח של Varonis, שפורסם בבלוג החברה. 

להלן הצעדים שיש לנקוט באופן מידי על מנת להתגונן מהשלכות בעיית אבטחה זו: 

1. לשנות את כתובת המייל של המשתמש האורח לכתובת דמה (לדוגמה, test@example.com). 

2. להסיר אירועי יומן רגישים שאיינשטיין (Einstein Activity Capture) שייך למשתמש האורח. 

Einstein Activity Capture הוא כלי המאפשר לסנכרן מיילים ואירועי יומן בין חשבונות Microsoft Exchange או Google לבין Salesforce (פלטפורמת ענן לארגונים המספקת שירותי תוכנה לניהול קשרי לקוחות). מטרת Einstein Activity Capture היא להגביר את פרודוקטיביות צוות המכירות על ידי איחוד הודעות מייל ופגישות רלוונטיות של לקוחות אל תוך מערכת מרכזית אחת: Salesforce. 

כשמשתמש יוצר פגישה, ינסה איינשטיין למצוא ישויות Salesforce אחרות (משתמשים, לידים, אנשי קשר) שיש לסנכרן עמם את האירוע. כש-Einstein Activity Capture מסנכרן את לוחות השנה של המשתמש, מתרחש התהליך הבא: 

• Salesforce מתחברת ליומן, בין אם זה Outlook או Google Calendar, ומושכת ממנו את האירועים. 

• Salesforce מוסיפה את האירועים ליומן  של המשתמש. 

• Salesforce בוחנת את המשתתפים באירוע ומחפשת משתמשים, לידים ואנשי קשר עם הודעות מייל תואמות. 

• אם נמצאו רשומות עם כתובות מייל תואמות –  האירועים יתווספו גם ליומני Salesforce שלהם. 

קהילות Salesforce 

לכאורה ללא קשר לאיינשטיין, אתרי קהילת Salesforce מאפשרת ללקוחות ולשותפי הארגון להתממשק לאירועים למרות שהם מגיעים מחוץ לארגון. הם יכולים לפתוח קריאות תמיכה, לשאול שאלות, לנהל מנויים ועוד. כשיוצרים אתר קהילה – הוא יוצר משתמש אורח מיוחד שמייצג משתמשים שאינם רשומים במערכת. ניתן לבחור אילו חלקים מהקהילה ייחשפו לאורחים חיצוניים אלו ללא צורך בהזדהות Login מצידם. 

חור התולעת של איינשטיין 

עד לעדכון שיצא בקיץ 2021 משתמשים אורחים נוצרו עם כתובת המייל של מנהל   Salesforce בארגון. החברה תיקנה במהירות את הבאג ודיווחה עליו ללקוחותיה, כך שכל אתרי הקהילה החדשים לא ישייכו את המשתמש האורח לכתובת מייל אמיתית של משתמש. לארגונים שיצרו את קהילת ה-Salesforce שלהם לפני קיץ 2021 מומלץ לשנות את כתובת המייל של המשתמש האורח עבור כל אתרי הקהילה שלהם לכתובת דמה שאינה משויכת ליומן אירועים של משתמש אמיתי.