Salesforce - gefährliche Konfigurationsfehler

Durch Fehlkonfigurationen kann bei Salesforce die Gefahr des Datendiebstahls bestehen

Sicherheitsforscher haben herausgefunden das durch eine Fehlkonfiguration anonyme Benutzer Objekte abfragen können, die sensible Informationen wie Kundenlisten, Supportfälle und E-Mail-Adressen von Mitarbeitern enthalten und somit für jeden sichtbar gemacht werden können.

Salesforce hat weltweit mehr als 150.000 Kunden, darunter rund 90 Prozent der Fortune-500-Unternehmen. Deshalb warnen die Sicherheitsexperten, dass durch die Fehlkonfigurationen Tausende von Unternehmen gefährdet sein könnten. 

Die Ursache liegt in der Salesforce Community, mit der Sie eigenen Websites erstellen können. Mit diesen können sie sich mit Benutzern außerhalb ihres Unternehmens verbinden und zusammenzuarbeiten. Diese bieten die unterschiedlichsten Funktionen, wie zum Beispiel Fragen und Antworten, Foren oder Partnerportale. Zudem können Sie anonymen Benutzern (Guest User) auch die Abfrage von Objekten ermöglichen, die sensible Informationen enthalten, wie zum Beispiel Kundenlisten, Support-Fälle, E-Mail-Adressen von Mitarbeitern und mehr. Communities sind öffentlich zugänglich und werden standardmäßig von Google indiziert. Dies für Kunden und Partner sehr nützlich, erleichtert es den Angreifern aber, die eine Schwachstelle oder Fehlkonfiguration entdecken, Communities in großem Umfang zu scannen und zu missbrauchen. 

Obwohl das Problem bereits im letzten Jahr an Salesforce gemeldet wurde, sind immer noch unzählige Unternehmen gefährdet.

Was betroffene Unternehmen tun sollten 

Salesforce-Administratoren sollten folgende Schritte durchführen:

1. Prüfen Sie die Berechtigungen der Gastprofile: Stellen Sie sicher, dass durch die Berechtigungen dieser Profile keine Informationen freigegeben werden, die Sie nicht preisgeben möchten, wie zum Beispiel Kontodaten oder Mitarbeiterkalender.

2. Deaktivieren Sie den API-Zugang.

3. Legen Sie einen Standard-Eigentümer/Verantwortlichen für Datensätze fest, die von Gastbenutzern erstellt werden.

4. Aktivieren Sie den sicheren Gastbenutzer-Zugang.