דו"ח: סיכון לדליפה מיומני אאוטלוק/גוגל עקב באג בהגדרות משתמש אורח של Salesforce
מאת:
מערכת Telecom News, 21.11.21, 14:45
שילוב של תקלה והגדרות אבטחה לקויות במערכת Salseforce אפשרה זליגת מידע פנימי של מספר רב של חברות וזאת ללא צורך בנגישות מוקדמת מצד התוקף. במקרה בו הארגון יצר את קהילת ה-Salesforce שלו לפני קיץ 2021 - עליו לתקן את אירועי היומן החשופים. מהם הצעדים, שיש לנקוט באופן מידי כדי להתגונן מהשלכות בעיית אבטחה זו?
דו"ח סיכונים, שפרסמה חברת אבטחת המידע והביג דאטה
Varonis, מזהיר ארגונים המשתמשים ב-
Salesforce Communities וב-
Einstein Activity Capture, מפני חשש מחשיפה לא מודעת של נתונים המצויים ביומני
Outlook ו-
Google של מנהל המערכת.
הסיבה היא באג, שגילה
נתאי בכרך, מצוות המחקר של
Varonis, ונתן לו את השם "חור התולעת של איינשטיין" (
Einstein's Wormhole) , על שם הכלי, שגרם לפירצת אבטחה -
Einstein Activity Capture.
"יומן הפגישות יכול להכיל תוכן רגיש ביותר, כגון שמות משתתפים, כתובות מייל, כתובות אתרים, סיסמאות לפגישות, סדר יום, קבצים מצורפים ותשובות מייל הנשלחות למארגן. הבעיה דווחה לחברת
Salesforce, שזיהתה את חומרת הבעיה וטיפלה בה במקצועיות. עם זאת, במקרה בו הארגון יצר את קהילת ה-
Salesforce שלו לפני קיץ 2021 - עליו לתקן את אירועי היומן החשופים", נכתב בדו"ח של
Varonis, שפורסם
בבלוג החברה.
להלן הצעדים, שיש לנקוט באופן מידי כדי להתגונן מהשלכות בעיית אבטחה זו:
1. לשנות את כתובת המייל של המשתמש האורח לכתובת דמה (לדוגמה,
test@example.com).
2. להסיר אירועי יומן רגישים, שאיינשטיין (
Einstein Activity Capture) שייך למשתמש האורח.
Einstein Activity Capture הוא כלי המאפשר לסנכרן מיילים ואירועי יומן בין חשבונות
Microsoft Exchange או
Google לבין
Salesforce (פלטפורמת ענן לארגונים המספקת שירותי תוכנה לניהול קשרי לקוחות). מטרת
Einstein Activity Capture היא להגביר את פרודוקטיביות צוות המכירות ע"י איחוד הודעות מייל ופגישות רלוונטיות של לקוחות אל תוך מערכת מרכזית אחת:
Salesforce.
כשמשתמש יוצר פגישה, ינסה איינשטיין למצוא ישויות
Salesforce אחרות (משתמשים, לידים, אנשי קשר) שיש לסנכרן עמם את האירוע. כש-
Einstein Activity Capture מסנכרן את לוחות השנה של המשתמש, מתרחש התהליך הבא:
•
Salesforce מתחברת ליומן, בין אם זה
Outlook או
Google Calendar, ומושכת ממנו את האירועים.
•
Salesforce מוסיפה את האירועים ליומן של המשתמש.
•
Salesforce בוחנת את המשתתפים באירוע ומחפשת משתמשים, לידים ואנשי קשר עם הודעות מייל תואמות.
• אם נמצאו רשומות עם כתובות מייל תואמות - האירועים יתווספו גם ליומני
Salesforce שלהם.
קהילות Salesforce
לכאורה, ללא קשר לאיינשטיין, אתרי קהילת
Salesforce מאפשרת ללקוחות ולשותפי הארגון להתממשק לאירועים למרות שהם מגיעים מחוץ לארגון. הם יכולים לפתוח קריאות תמיכה, לשאול שאלות, לנהל מנויים ועוד. כשיוצרים אתר קהילה - הוא יוצר משתמש אורח מיוחד, שמייצג משתמשים, שאינם רשומים במערכת. ניתן לבחור איזה חלקים מהקהילה ייחשפו לאורחים חיצוניים אלו ללא צורך בהזדהות
Login מצידם.
חור התולעת של איינשטיין
עד לעדכון, שיצא בקיץ 2021 , משתמשים אורחים נוצרו עם כתובת המייל של מנהל
Salesforce בארגון. החברה תיקנה את הבאג ודיווחה עליו ללקוחותיה. כך, שכל אתרי הקהילה החדשים לא ישייכו את המשתמש האורח לכתובת מייל אמיתית של משתמש. לארגונים, שיצרו את קהילת ה-
Salesforce שלהם לפני קיץ 2021, מומלץ לשנות את כתובת המייל של המשתמש האורח עבור כל אתרי הקהילה שלהם לכתובת דמה, שאינה משויכת ליומן אירועים של משתמש אמיתי.