salesforce

Erhöhte Gefahr bei Fehlkonfiguration

Von /

Durch Fehlkonfigurationen kann bei Salesforce die Gefahr des Datendiebstahls bestehen.

Sicherheitsforscher haben herausgefunden das durch eine Fehlkonfiguration anonyme Benutzer Objekte abfragen können, die sensible Informationen wie Kundenlisten, Supportfälle und E-Mail-Adressen von Mitarbeitern enthalten und somit für jeden sichtbar gemacht werden können.

Salesforce hat weltweit mehr als 150.000 Kunden, darunter rund 90 Prozent der Fortune-500-Unternehmen. Deshalb warnen die Sicherheitsexperten, dass durch die Fehlkonfigurationen Tausende von Unternehmen gefährdet sein könnten. 

Die Ursache liegt in der Salesforce Community, mit der Sie eigenen Websites erstellen können. Mit diesen können sie sich mit Benutzern außerhalb ihres Unternehmens verbinden und zusammenzuarbeiten. Diese bieten die unterschiedlichsten Funktionen, wie zum Beispiel Fragen und Antworten, Foren oder Partnerportale. Zudem können Sie anonymen Benutzern (Guest User) auch die Abfrage von Objekten ermöglichen, die sensible Informationen enthalten, wie zum Beispiel Kundenlisten, Support-Fälle, E-Mail-Adressen von Mitarbeitern und mehr. Communities sind öffentlich zugänglich und werden standardmäßig von Google indiziert. Dies für Kunden und Partner sehr nützlich, erleichtert es den Angreifern aber, die eine Schwachstelle oder Fehlkonfiguration entdecken, Communities in großem Umfang zu scannen und zu missbrauchen. 

Obwohl das Problem bereits im letzten Jahr an Salesforce gemeldet wurde, sind immer noch unzählige Unternehmen gefährdet.

Was betroffene Unternehmen tun sollten 

Salesforce-Administratoren sollten folgende Schritte durchführen:

1. Prüfen Sie die Berechtigungen der Gastprofile: Stellen Sie sicher, dass durch die Berechtigungen dieser Profile keine Informationen freigegeben werden, die Sie nicht preisgeben möchten, wie zum Beispiel Kontodaten oder Mitarbeiterkalender.

2. Deaktivieren Sie den API-Zugang.

3. Legen Sie einen Standard-Eigentümer/Verantwortlichen für Datensätze fest, die von Gastbenutzern erstellt werden.

4. Aktivieren Sie den sicheren Gastbenutzer-Zugang.

cookie

Wir respektieren Ihre Privatsphäre

Damit unsere Webseite funktioniert, setzen wir technisch notwendige Cookies ein. Um unser Angebot zu verbessern und Ihnen alle Funktionen wie interaktive Karten oder Formularschutz zu bieten, benötigen wir Ihre Zustimmung für weitere Dienste von Google (Analytics, Maps, reCAPTCHA). Dabei werden Daten in die USA übertragen. Bitte treffen Sie Ihre Auswahl. Sie können Ihre Einstellungen jederzeit ändern.

Datenschutshinweise
Notwendig
expand_more

Diese Cookies sind für die grundlegende Funktionalität unserer Webseite unerlässlich. Sie ermöglichen Kernfunktionen wie die Seitennavigation, den sicheren Zugang zu geschützten Bereichen, das Speichern Ihrer Datenschutzeinstellungen oder das Verwalten Ihres Warenkorbs. Ohne diese Cookies kann die Webseite nicht ordnungsgemäß funktionieren. Eine Einwilligung für die Nutzung essenzieller Cookies ist nach § 25 Abs. 2 Nr. 2 TDDDG nicht erforderlich.

Google Maps
expand_more

Wir nutzen den Kartendienst von Google Maps, um Ihnen interaktive Karten direkt auf unserer Webseite anzuzeigen und eine bequeme Nutzung der Karten-Funktion zu ermöglichen, z.B. zur Standortanzeige oder zur Routenplanung. Wenn Sie diesen Dienst aktivieren, wird eine Verbindung zu den Servern von Google in den USA hergestellt. Dabei wird Ihre IP-Adresse und möglicherweise weitere Informationen (z.B. Ihr Standort, Browserdetails) an Google übertragen und dort gespeichert. Google verarbeitet diese Daten auch für eigene Zwecke wie die Verbesserung des eigenen Dienstes oder für personalisierte Werbung. Wir haben keine Kontrolle über die weitere Datenverarbeitung durch Google. Rechtsgrundlage für die Nutzung ist Ihre Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG. Mit Ihrer Zustimmung willigen Sie zugleich ein, dass Ihre Daten in die USA übermittelt werden (Art. 49 Abs. 1 lit. a DSGVO). Die USA gelten aus Sicht des Europäischen Gerichtshofs als ein Land mit einem nach EU-Standards unzureichenden Datenschutzniveau. Es besteht insbesondere das Risiko, dass Ihre Daten durch US-Behörden zu Kontroll- und Überwachungszwecken verarbeitet werden können, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten.

Google ReCAPTCHA
expand_more

Zum Schutz unserer Formulare (z.B. Kontakt- oder Kommentarfunktion) vor Spam und Missbrauch durch automatisierte Programme (sog. „Bots“) setzen wir den Dienst Google reCAPTCHA ein. Dieser Dienst prüft, ob eine Eingabe durch einen Menschen oder missbräuchlich durch ein Computerprogramm erfolgt.

Google Analytics
expand_more

Um unsere Webseite stetig zu verbessern und die Inhalte auf die Interessen unserer Besucher abzustimmen, verwenden wir Google Analytics, einen Webanalysedienst der Google LLC. Google Analytics verwendet Cookies, die eine Analyse Ihrer Benutzung der Webseite ermöglichen. Die durch die Cookies erzeugten Informationen (einschließlich Ihrer IP-Adresse, die vor der Speicherung anonymisiert wird) werden an einen Server von Google in den USA übertragen und dort gespeichert. Google nutzt diese Informationen in unserem Auftrag, um Ihre Nutzung der Webseite auszuwerten, Reports über die Webseitenaktivitäten zusammenzustellen und um weitere mit der Webseitennutzung verbundene Dienstleistungen zu erbringen. Google kann diese Daten auch für eigene Zwecke nutzen und mit anderen Daten von Ihnen zusammenführen. Rechtsgrundlage für die Nutzung ist Ihre Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG. Mit Ihrer Zustimmung willigen Sie zugleich ein, dass Ihre Daten in die USA übermittelt werden (Art. 49 Abs. 1 lit. a DSGVO). Die USA gelten aus Sicht des Europäischen Gerichtshofs als ein Land mit einem nach EU-Standards unzureichenden Datenschutzniveau. Es besteht insbesondere das Risiko, dass Ihre Daten durch US-Behörden zu Kontroll- und Überwachungszwecken verarbeitet werden können, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten.

Nach oben scrollen