A Salesforce instou os clientes do Experience Cloud a auditarem as configurações de seus sites após relatos de que um notório grupo de ameaças já roubou dados de centenas de empresas.
A gigante do SaaS disse que vem acompanhando um aumento na atividade dos atores de ameaças visando configurações incorretas de sites acessíveis ao público criados usando sua plataforma Experience Cloud.
“Especificamente, identificamos uma campanha na qual atores mal-intencionados estão explorando as configurações excessivamente permissivas de usuários convidados da Experience Cloud dos clientes para acessar potencialmente mais dados do que as organizações visadas pretendiam”, explicou.
O grupo tem usado uma versão personalizada de uma ferramenta de código aberto originalmente desenvolvida pela Mandiant (Aura Inspector) para realizar varredura em massa do endpoint da API /s/sfsites/aura. A ferramenta aparentemente identifica objetos de CRM vulneráveis e extrai dados de endpoints mal configurados, disse a Salesforce.
“Os dados coletados nessas varreduras, como nomes e números de telefone, são frequentemente usados para criar campanhas subsequentes de engenharia social direcionada e vishing (phishing de voz)”, continuou.
Leia mais sobre as campanhas ShinyHunters: Nova campanha de roubo de dados tem como alvo o Salesforce por meio do aplicativo Salesloft.
A Salesforce se esforçou para apontar que os atores da ameaça estão explorando uma “configuração de usuário convidado configurada pelo cliente, não uma falha de segurança da plataforma”.
ShinyHunters dá um aviso final
O infame grupo ShinyHunters assumiu a responsabilidade pela campanha. Em capturas de tela em seu site de vazamento publicado no X (antigo Twitter), alegou ter violado “várias centenas” de empresas.
Alega ter comprometido cerca de 400 sites e 100 “empresas de alto perfil”.
Isso sugeriria que de facto utilizou os dados de contacto citados pela Salesforce e obtidos através das intrusões no website, a fim de realizar ações de acompanhamento. engenharia socialinvasões de rede e roubo de dados mais amplo.
Salesforce pede ação imediata
A Salesforce alegou que qualquer cliente do Experience Cloud que esteja usando o perfil de usuário convidado e tenha configurado permissões “para permitir acesso público a objetos e campos não destinados a estarem disponíveis publicamente” poderia ser afetado.
Ele pediu esses clientes:
- Audite as permissões dos usuários convidados e aplique um modelo de acesso com privilégios mínimos para garantir que esses perfis sejam restritos ao “mínimo absoluto” de objetos e campos necessários para o funcionamento do site
- Certifique-se de que o acesso externo padrão para todos os objetos esteja definido como “privado”
- Desmarque “Permitir que usuários convidados acessem APIs públicas” nas configurações do site e desmarque “API habilitada” nas permissões do sistema do perfil do usuário convidado
- Desmarque “Visibilidade do usuário do portal” e “Visibilidade do usuário do site” nas configurações de compartilhamento para impedir que usuários convidados enumere membros internos da organização
- Se o site não exigir que visitantes não autenticados criem suas próprias contas, desative o autorregistro
- Avaliar Aura Monitoramento de Eventos registros para padrões de acesso incomuns
A ShinyHunters tem um longo histórico de perseguir clientes do Salesforce, tendo direcionado suas instâncias em diversas ocasiões em campanhas conectadas no ano passado.
Deseja saber mais sobre Segurança Clique Aqui!