Los servidores que ejecutan software vendido por Salesforce están filtrando datos confidenciales administrados por agencias gubernamentales, bancos y otras organizaciones, según un correo publicado el viernes por KrebsOnSecurity.
Al menos cinco sitios separados administrados por el estado de Vermont permitieron el acceso a datos confidenciales a cualquier persona, informó Brian Krebs. El programa de Asistencia de Desempleo por la Pandemia del estado se encontraba entre los afectados. Expuso los nombres completos de los solicitantes, números de Seguro Social, direcciones, números de teléfono, direcciones de correo electrónico y números de cuentas bancarias. Al igual que las otras organizaciones que brindan acceso público a datos privados, Vermont utilizó Salesforce Community, un producto de software basado en la nube diseñado para facilitar a las organizaciones la creación rápida de sitios web.
Otro cliente de Salesforce afectado fue Huntington Bank, con sede en Columbus, Ohio. Recientemente adquirió TCF Bank, que utilizó Salesforce Community para procesar préstamos comerciales. Los campos de datos expuestos incluían nombres, direcciones, números de Seguro Social, títulos, identificaciones federales, direcciones IP, nóminas mensuales promedio y montos de préstamos.
Tanto el estado de Vermont como Huntington Bank se enteraron de las filtraciones cuando Krebs los contactó para hacer comentarios. En ambos casos, los clientes eliminaron rápidamente el acceso público a la información confidencial.
Los sitios web de la comunidad de Salesforce se pueden configurar para que requieran autenticación, de modo que un número limitado de personas autorizadas puedan acceder a datos confidenciales y recursos internos. Los sitios también se pueden configurar para permitir el acceso no autenticado a cualquier persona para ver información pública. En ocasiones, los administradores permiten, sin darse cuenta, que visitantes no autenticados accedan a secciones del sitio web destinadas a estar disponibles solo para trabajadores autorizados.
Salesforce le dijo a Krebs que brinda a los clientes una guía clara sobre cómo configurar Salesforce Community para garantizar qué datos son accesibles para invitados no autenticados. La empresa apuntó a los recursos. aquí, aquíy aquí.
Varias personas han rechazado esa afirmación. Una persona es el director de seguridad de la información de Vermont, Scott Carbee. Le dijo a Krebs que su equipo estaba “frustrado por la naturaleza permisiva de la plataforma”. Otro crítico es Doug Merrett, quien primero intentó crear conciencia sobre la facilidad de configurar incorrectamente Salesforce Community hace dos años. El viernes, explicó el problema en una publicación titulada El problema de seguridad de las comunidades de Salesforce
“El problema era que podía ‘piratear’ la URL para ver las páginas estándar de Salesforce: cuenta, contacto, usuario, etc.”, escribió Merrett. “Esto realmente no sería un problema, excepto que el administrador no esperaba que usted viera las páginas estándar, ya que no había agregado los objetos asociados a la navegación de la comunidad de Aura y, por lo tanto, no había creado diseños de página apropiados para ocultar campos que no tenían. quiero que el usuario vea”.
En el lenguaje de Salesforce, Aura se refiere a componentes reutilizables en la interfaz de usuario que se pueden aplicar a partes seleccionadas de una página web, desde una sola línea de texto hasta una aplicación completa.
Krebs dijo que se enteró de las filtraciones por el investigador de seguridad Charan Akiri, quien identificó cientos de organizaciones con sitios de Salesforce mal configurados. Akiri dijo que de las múltiples empresas y organizaciones gubernamentales a las que notificó, solo cinco finalmente solucionaron los problemas. Ninguno de ellos estaba en el sector gubernamental.
Una organización a la que Krebs notificó fue el gobierno de Washington, DC, que usa Salesforce Community para al menos cinco sitios web públicos de DC Health y estaba filtrando información confidencial. El director interino de seguridad de la información del distrito le dijo a Krebs que hizo llegar los hallazgos a un consultor externo contratado para investigar. El tercero, le dijo el CISO a Krebs, informó que los sitios no eran vulnerables a la pérdida de datos.
Luego, Krebs proporcionó un documento que mostraba el número de Seguro Social de un profesional de la salud que había descargado de DC Health mientras entrevistaba al CISO. El CISO luego reconoció que su equipo había pasado por alto algunos de los ajustes de configuración.