Falha no Salesforce pode expor dados sensíveis, alerta Varonis

Norma internacional especifica os requisitos para estabelecer, implementar, manter e otimizar o sistema de gestão de privacidade da informação

Uma falha no Salesforce Community, que faz parte do software de vendas Salesforce, pode expor dados de usuários – inclusive dados sensíveis indevidamente, de acordo com pesquisadores da Varonis. O módulo permite a clientes Salesforce criar seus próprios websites para conectar públicos externos, e trabalhar em um ambiente colaborativo. De acordo com a descoberta da Varonis, o problema é que a ferramenta também possibilita que os usuários busquem objetos – tais como listas de clientes, endereços de email de funcionários, entre outras informações de cunho sensível.

“Nos últimos dois anos, a migração das empresas para serviços na nuvem foi enorme. Isso gerou problemas para as empresas, que tiveram que fazer esse movimento às pressas, e também para os grandes fornecedores de soluções, que precisaram acompanhar o crescimento do mercado, muitas vezes ao custo da qualidade”, diz Carlos Rodrigues, vice-presidente da Varonis para América Latina.

Embora os pesquisadores tenham reportado o problema à Salesforce no ano passado, há milhares de empresas ainda expostas. Atualmente, a Salesforce tem mais de 150 mil clientes no mundo todo, e 90% das 500 empresas da Fortune são clientes da Salesforce. “No mínimo, um hacker poderia explorar essa falha para realizar uma campanha de phishing com os dados encontrados”, explica Rodrigues. Em um cenário pior, seria possível extrair dados acerca de empresas, operações, clientes e parceiros. Em alguns casos, um criminoso sofisticado poderia conseguir, por meio da movimentação lateral, informações de outros serviços integrados à conta Salesforce”, complementa o executivo.

Os detalhes dos possíveis ataques não foram publicados. A Varonis enviou detalhes das informações diretamente à Salesforce, para correções e atualizações. “Esta não é a primeira vez – e não será a última – que um problema de configuração SaaS pode criar um grave incidente de segurança. As equipas de TI e segurança devem permanecer vigilantes e avaliar continuamente a sua exposição SaaS”, pontua Rodrigues.

Correção

A Varonis já desenvolveu uma ferramenta para as empresas realizarem um scan gratuito de seu ambiente – e que pode ser solicitada por meio da URL: http://www.varonis.com/help. Por ora, os especialistas também recomendam:
– Checar as permissões de usuários convidados [guest, no termo em inglês], garantindo que não possam exibir informações tais como histórico da conta, calendários de funcionários etc;
– Desabilitar o acesso de API para usuários convidados;
– Configurar o proprietário de quaisquer registros criados por convidados;
– Habilitar o acesso seguro a convidados.

Leia também:

Vida a.c. e d.c.: Antes e Depois do Coronavírus

Digitalização é palavra-chave para Empresas durante Pandemia

Blockchain: Uma Revolução Feita em Blocos

Este conteúdo de divulgação comercial foi fornecido
Por Intelligenzia
e não é de responsabilidade de revistaempreende.com.br