SalesForce vazando dados de clientes

Sales Force vazando dados de clientes

De acordo com um artigo publicado na sexta-feira pela KrebsOnSecurity, os servidores que executam o software vendido pela Salesforce estão vazando dados confidenciais gerenciados por agências governamentais, bancos e outras organizações.

Brian Krebs informou que pelo menos cinco sites administrados pelo estado de Vermont permitiam acesso a dados confidenciais a qualquer pessoa. O programa estadual de Assistência ao Desemprego Pandêmico estava entre os afetados, expondo informações sensíveis dos candidatos, como nomes completos, números de CPF, endereços, números de telefone, endereços de e-mail e números de contas bancárias.

Vermont usou o Salesforce Community, um produto de software baseado em nuvem projetado para facilitar a criação rápida de sites pelas organizações.

O Huntington Bank, sediado em Columbus, Ohio, também foi afetado pelo vazamento de dados confidenciais. Recentemente, adquiriu o TCF Bank, que usava o Salesforce Community para processar empréstimos comerciais. Campos de dados expostos incluíam nomes, endereços, números de CPF, títulos, identidades federais, endereços IP, folhas de pagamento mensais médias e valores de empréstimos.

Tanto o estado de Vermont quanto o Huntington Bank removeram rapidamente o acesso público às informações confidenciais quando Krebs os contatou. Os sites da Comunidade Salesforce podem ser configurados para exigir autenticação, para que um número limitado de pessoas autorizadas possa acessar dados confidenciais e recursos internos. Às vezes, os administradores inadvertidamente permitem que visitantes não autenticados acessem seções do site destinadas a estarem disponíveis apenas para funcionários autorizados.

A Salesforce disse que fornece aos clientes orientações claras sobre como configurar o Salesforce Community para garantir que dados sejam acessíveis apenas a convidados autenticados. No entanto, alguns críticos, incluindo Scott Carbee, diretor de segurança da informação de Vermont, e Doug Merrett, apontaram falhas na plataforma. Merrett relatou o problema oito meses atrás, descrevendo como o administrador pode esquecer de adicionar objetos associados à navegação da comunidade Aura e, portanto, não criaram layouts de página apropriados para ocultar campos que não desejam que o usuário veja.

Krebs foi informado dos vazamentos pelo pesquisador de segurança Charan Akiri, que identificou centenas de organizações com sites Salesforce mal configurados. Das várias empresas e organizações governamentais notificadas, apenas cinco resolveram os problemas, e nenhum deles estava no setor governamental. O governo de Washington, DC, notificado por Krebs, usa o Salesforce Community para pelo menos cinco sites públicos da DC Health que estavam vazando informações confidenciais. O diretor interino de segurança da informação do distrito admitiu que sua equipe havia esquecido algumas das definições de configuração.