Uma falha no Salesforce Community, que faz parte do software de vendas Salesforce, pode expor dados de usuários - inclusive dados sensíveis indevidamente, de acordo com pesquisadores da Varonis. O módulo permite a clientes Salesforce criar seus próprios websites para conectar públicos externos, e trabalhar em um ambiente colaborativo. De acordo com a descoberta da Varonis, o problema é que a ferramenta também possibilita que os usuários busquem objetos - tais como listas de clientes, endereços de email de funcionários, entre outras informações de cunho sensível.

"Nos últimos dois anos, a migração das empresas para serviços na nuvem foi enorme. Isso gerou problemas para as empresas, que tiveram que fazer esse movimento às pressas, e também para os grandes fornecedores de soluções, que precisaram acompanhar o crescimento do mercado, muitas vezes ao custo da qualidade", diz Carlos Rodrigues, vice-presidente da Varonis para América Latina.

Embora os pesquisadores tenham reportado o problema à Salesforce no ano passado, há milhares de empresas ainda expostas. Atualmente, a Salesforce tem mais de 150 mil clientes no mundo todo, e 90% das 500 empresas da Fortune são clientes da Salesforce. "No mínimo, um hacker poderia explorar essa falha para realizar uma campanha de phishing com os dados encontrados", explica Rodrigues. Em um cenário pior, seria possível extrair dados acerca de empresas, operações, clientes e parceiros. Em alguns casos, um criminoso sofisticado poderia conseguir, por meio da movimentação lateral, informações de outros serviços integrados à conta Salesforce", complementa o executivo.

Os detalhes dos possíveis ataques não foram publicados. A Varonis enviou detalhes das informações diretamente à Salesforce, para correções e atualizações. "Esta não é a primeira vez - e não será a última - que um problema de configuração SaaS pode criar um grave incidente de segurança. As equipas de TI e segurança devem permanecer vigilantes e avaliar continuamente a sua exposição SaaS", pontua Rodrigues.

Correção

A Varonis já desenvolveu uma ferramenta para as empresas realizarem um scan gratuito de seu ambiente - e que pode ser solicitada por meio da URL: www.varonis.com/help. Por ora, os especialistas também recomendam:
- Checar as permissões de usuários convidados [guest, no termo em inglês], garantindo que não possam exibir informações tais como histórico da conta, calendários de funcionários etc;
- Desabilitar o acesso de API para usuários convidados;
- Configurar o proprietário de quaisquer registros criados por convidados;
- Habilitar o acesso seguro a convidados.

Sobre a Varonis

Operando desde 2005, a Varonis é pioneira em segurança e análise de dados, e trava uma batalha diferente das empresas de segurança cibernética convencionais. Atualmente, as soluções desenvolvidas pela empresa se concentram na proteção de dados corporativos, tais como arquivos e e-mails confidenciais; dados confidenciais de clientes, pacientes e funcionários; recordes financeiros; planos estratégicos e de produto; e outras propriedades intelectuais. A Varonis Data Security Platform detecta ameaças cibernéticas de atores internos e externos, analisando dados, atividade da conta e comportamento do usuário; previne e limita desastres, bloqueando dados confidenciais e obsoletos; e sustenta com eficiência um estado seguro com automação. Os produtos Varonis atendem a outros casos de uso importantes, incluindo proteção de dados, governança de dados, confiança zero, conformidade, privacidade de dados, classificação e detecção e resposta a ameaças. Hoje, alguns clientes da empresa são líderes em seus mercados de atuação, tais como Serviços Financeiros, Setor Público, Saúde, Indústria, Seguros, Energia, Tecnologia, Varejo, Mídia e Entretenimento, Educação, entre outros.