Varonis a émis un avertissement concernant une mauvaise configuration de Salesforce qui peut exposer des données sensibles à n’importe qui sur Internet.
Nitay Bachrach, chercheur chez Varonis, explique :
“Au minimum, un acteur malveillant pourrait exploiter cette mauvaise configuration pour effectuer une reconnaissance dans le cadre d’une campagne de spear-phishing. Au pire, il pourrait voler des informations sensibles sur une entreprise, ses activités, ses clients et ses partenaires. Dans certains cas, un attaquant sophistiqué pourrait être en mesure de se déplacer latéralement et de récupérer des informations provenant d’autres services intégrés au compte Salesforce. ”
Le problème se situe au niveau de Salesforce Community, qui permet aux clients de Salesforce de créer leurs propres sites Web pour se connecter à des utilisateurs extérieurs à leur organisation et collaborer. Les communautés peuvent proposer toutes sortes de fonctionnalités, comme des questions-réponses, des forums, un portail pour les partenaires, etc. Les communautés peuvent également permettre à des utilisateurs anonymes d’interroger des objets contenant des informations sensibles, tels que des listes de clients, des demandes d’assistance, des adresses électroniques d’employés, etc.
Bien que les chercheurs aient signalé le problème à Salesforce l’année dernière, d’innombrables organisations sont encore exposées. Comme Salesforce compte plus de 150 000 clients dans le monde et que 90 % des entreprises du classement Fortune 500 sont clientes de Salesforce, Varonis prévient que des milliers d’entreprises pourraient être vulnérables. L’entreprise experte en cybersécurité a divulgué ses récentes découvertes à Salesforce, qui a déclaré travailler sur des mises à jour de son application afin de rendre plus difficile l’exposition accidentelle d’informations par les administrateurs.
Nitay Bachrach a déclaré :
“Ce n’est pas la première fois – et ce ne sera pas la dernière – qu’un problème de configuration SaaS peut créer un grave incident de sécurité. Les équipes informatiques et de sécurité doivent rester vigilantes et évaluer en permanence leur exposition au SaaS.”