Облачное ПО Salesforce может открывать доступ к данным любому пользователю

Популярное в США облачное программное обеспечение Salesforce заподозрили в сливе данных в буквальном смысле любому пользователю. KrebsOnSecurity отмечает, что данные утекают с сайтов сообщества  Salesforce.

Источником утечки назвали некорректную конфигурацию в сообществе Salesforce, которая позволяет любому неавторизованному пользователю получить доступ к данным. Изначально предполагалось, что последние должны быть доступны только после входа в личный кабинет.

Получить доступ к сообществу Salesforce можно либо как авторизованный пользователь, либо как гость, то есть без логина. Однако в результате неверной конфигурации гостевым пользователям открывается доступ к внутренним ресурсам системы. Там они могут увидеть конфиденциальные данные входящих в сообщество организаций, что увеличивает риск утечек.

Исследователи уточняют, что в штате Вермонт до недавнего времени действовало минимум пять сайтов сообществ Salesforce. Один из них принадлежит программе помощи безработным из-за пандемии. Там данные, к которым мог получить доступ незарегистрированный пользователь, включали полное имя соискателя, номер полиса социального страхования, адрес, номер телефона и даже номер банковского счета.