Les serveurs exécutant des logiciels vendus par Salesforce divulguent des données sensibles gérées par des agences gouvernementales, des banques et d’autres organisations, selon un article publié vendredi par KrebsOnSecurity.
Au moins cinq sites distincts gérés par l’État du Vermont ont permis à quiconque d’accéder à des données sensibles, a rapporté Brian Krebs. Le programme d’assistance au chômage en cas de pandémie de l’État faisait partie des personnes touchées. Il a exposé les noms complets, les numéros de sécurité sociale, les adresses, les numéros de téléphone, les adresses e-mail et les numéros de compte bancaire des candidats. Comme les autres organisations fournissant un accès public aux données privées, le Vermont a utilisé Salesforce Community, un produit logiciel basé sur le cloud conçu pour permettre aux organisations de créer rapidement des sites Web.
Huntington Bank, basée à Columbus, dans l’Ohio, était un autre client Salesforce concerné. Elle a récemment acquis TCF Bank, qui utilisait Salesforce Community pour traiter les prêts commerciaux. Les champs de données exposés comprenaient les noms, les adresses, les numéros de sécurité sociale, les titres, les identifiants fédéraux, les adresses IP, les salaires mensuels moyens et les montants des prêts.
L’État du Vermont et la Huntington Bank ont appris les fuites lorsque Krebs les a contactés pour obtenir des commentaires. Dans les deux cas, les clients ont rapidement supprimé l’accès du public aux informations sensibles.
Les sites Web de la communauté Salesforce peuvent être configurés pour exiger une authentification afin qu’un nombre limité de personnes autorisées puissent accéder aux données sensibles et aux ressources internes. Les sites peuvent également être configurés pour permettre un accès non authentifié à quiconque pour consulter des informations publiques. Les administrateurs autorisent parfois par inadvertance des visiteurs non authentifiés à accéder à des sections du site Web destinées à n’être accessibles qu’aux travailleurs autorisés.
Salesforce a déclaré à Krebs qu’il fournit aux clients des conseils clairs sur la façon de configurer Salesforce Community pour s’assurer que les données sont accessibles aux invités non authentifiés. La société a indiqué des ressources ici, ici et ici.
Publicité
Plusieurs personnes ont repoussé cette affirmation. L’une d’entre elles est le directeur de la sécurité de l’information du Vermont, Scott Carbee. Il a dit à Krebs que son équipe était “frustrée par la nature permissive de la plate-forme”. Un autre critique est Doug Merrett, qui a d’abord tenté de sensibiliser à la facilité de mauvaise configuration de la communauté Salesforce il y a deux ans. Vendredi, il a expliqué le problème dans un article intitulé The Salesforce Communities Security Issue.
“Le problème était que vous pouviez” pirater “l’URL pour voir les pages Salesforce standard – Compte, Contact, Utilisateur, etc.”, a écrit Merrett. “Ce ne serait pas vraiment un problème, sauf que l’administrateur ne s’attendait pas à ce que vous voyiez les pages standard car ils n’avaient pas ajouté les objets associés à la navigation de la communauté Aura et n’avaient donc pas créé de mises en page appropriées pour masquer les champs qu’ils n’avaient pas voulez que l’utilisateur voie.
Dans le langage Salesforce, Aura fait référence à des composants réutilisables dans l’interface utilisateur qui peuvent être appliqués à des parties sélectionnées d’une page Web, d’une seule ligne de texte à une application entière.
Krebs a déclaré avoir appris les fuites du chercheur en sécurité Charan Akiri, qui a identifié des centaines d’organisations avec des sites Salesforce mal configurés. Akiri a déclaré que parmi les multiples entreprises et organisations gouvernementales qu’il a notifiées, seules cinq ont finalement résolu les problèmes. Aucun de ceux-ci n’appartenait au secteur gouvernemental.
Une organisation notifiée par Krebs était le gouvernement de Washington, DC, qui utilise Salesforce Community pour au moins cinq sites Web publics de DC Health et divulguait des informations sensibles. Le responsable de la sécurité de l’information par intérim du district a déclaré à Krebs qu’il avait analysé les conclusions d’un consultant tiers chargé d’enquêter. Le tiers, a déclaré le CISO à Krebs, a indiqué que les sites n’étaient pas vulnérables à la perte de données.
Krebs a ensuite fourni un document indiquant le numéro de sécurité sociale d’un professionnel de la santé qu’il avait téléchargé auprès de DC Health lors de son entretien avec le CISO. Le RSSI a alors reconnu que son équipe avait négligé certains paramètres de configuration.