Varonis: уязвимость Salesforce компрометировала данные календарей Outlook и Google
Компания Varonis, один из новаторов мирового рынка безопасности и аналитики данных, сообщает об обнаружении уязвимости в платформе Salesforce. Из-за нее организации, которые одновременно используют сервисы Salesforce Communities и Einstein Activity Capture, могли неосознанно открыть доступ к записям календарей Outlook или Google своих администраторов.
Выявленная уязвимость была названа «Кротовая нора». Она открывает посторонним лицам доступ к записям календарей администраторов систем, в которых может содержаться конфиденциальная информация: персональные данные, электронные письма, URL-адреса и коды доступа к онлайн-конференциям, содержание их повесток дня, вложенные файлы. Обладая этими данными, злоумышленник получал возможность участвовать в конфиденциальных встречах инкогнито. Кроме того, такая информация могла использоваться для проведения таргетированных фишинговых атак или компрометации данных.
Эксперты Varonis сообщили об обнаружении уязвимости компании Salesforce, и она уже приняла меры для ее устранения.
Однако, тем организациям, чьи сообщества Salesforce были созданы до лета 2021 года необходимо немедленно предпринять ряд мер:
Изменить в данных своего аккаунта адрес гостевой электронной почты с действительного на фиктивный (например test@example.com или guest@yourcompany.com).
Удалить из календарей важные записи, которые плагин Einstein Activity Capture ассоциировал с гостевым пользователем.
Полный алгоритм действий описан в блоге Varonis.
Einstein Activity Capture (EAC) – инструмент, который позволяет интегрировать в единой консоли Salesforce данные пользовательских аккаунтов Microsoft Exchange или Google и Salesforce. Одна из возможностей этого плагина – автоматическая синхронизация событий в пользовательских календарях. Она происходит, когда EAC определяет в создаваемой записи о событии упоминание пользователей с совпадающими адресами электронной почты.
«Гостевые» пользовательские аккаунты создавались в Salesforce с адресом электронной почты администратора вплоть до выпуска очередного релиза платформы летом 2021 года. И, если они упоминались в календарной записи о собрании, то EAC автоматически добавлял ее в календарь гостевого аккаунта. В результате через него доступ к ней оказывался открытым для всех пользователей с правами гостя.
По прогнозам аналитиков Varonis, такие некорректные конфигурации и мелкие уязвимости будут возникать всё чаще. Взаимосвязь различных SaaS-сервисов, как и объем передаваемых между ними данных возрастает что увеличивает риски и усложняет управление SaaS-инфраструктурами.
Концерн «Радиоэлектронные технологии» (КРЭТ, входит в Госкорпорацию Ростех) и группа компаний SIMETRA разработают план развития федеральной сети электрозаправочных станций (ЭЗС) с учетом потребностей владельцев электротранспорта. Пилотный проект планируется реализовать в Ростове-на-Дону.
Разработчик системы мониторинга загрузки промышленного оборудования ЭНКОСТ выходит на рынок Казахстана. Заказчикам из региона станет доступен флагманский продукт компании «ЭНКОСТ Мониторинг», который позволяет оптимизировать загрузку текущего парка оборудования и предотвращать сбои в его работе.
Завершены испытания совместимости системы управления доступом RooX UIDM с ОС Astra Linux 1.7. Корректную работу программного стека подтверждает сертификат, выданный «Группой Астра».
Utrace, российский разработчик ИТ-решений для управления цифровой маркировкой, заявил о модернизации облачной платформы Utrace HUB под потребности производителей консервной продукции. Теперь поставщики таких продуктов смогут использовать платформу для передачи сведений о кодах маркировки Data Matrix в государственную систему мониторинга “Честный знак” (ГИС МТ).
Министерство финансов Челябинской области совместно с БФТ-Холдингом реализовало проект по переводу информационных систем (ИС) исполнения и планирования бюджета на систему управления базами данных (СУБД) Postgres Pro Certified. Миграция на российское решение, имеющее сертификат ФСТЭК, позволила ведомству полностью исключить из своего ИТ-ландшафта оборудование и программные продукты зарубежных вендоров, сохранив при этом высокое качество обработки данных и удобство работы для конечных пользователей.
Группа компаний SIMETRA, центр компетенций в области моделирования транспортных потоков и транспортного планирования, подготовила обоснование маршрутов для проекта строительства трассы Джубга-Сочи, которая разгрузит существующую федеральную дорогу А-147 и более, чем в три раза сократит время поездки. Эксперты SIMETRA провели полевые работы и комплексное макроэкономическое исследование, чтобы определить оптимальный вариант для строительства новой магистрали.
Компания «Аэродиск», ведущий российский разработчик и производитель решений в области систем хранения данных и виртуализации, объявляет о запуске новой линейки СХД под названием ENGINE AQ. Линейка будет реализована на базе аппаратной платформы компании «Аквариус».