Meldung

Salesforce-Daten in Gefahr

Unternehmen, die Salesforce Communities und Einstein Activity Capture verwenden, haben möglicherweise unwissentlich die Outlook- oder Google-Kalenderereignisse ihrer Administratoren für jeden im Internet zugänglich gemacht. Hierzu gehören sensible Inhalte wie Namen und E-Mails von Teilnehmern, URLs und Passwörter von Meetings, Tagesordnungen und Dateianhänge.
Die "Wurmloch" getaufte Lücke gefährdet vertrauliche Daten in Salesforce.
Obwohl Salesforce den Fehler im Sommer-Update schnell gepatcht hat, bleibt das Risiko bestehen, wie Untersuchungen der Sicherheitsforscher von Varonis Systems [1] zeigen: Alle Unternehmen, die ihre Salesforce Community vor dem Sommer 2021 erstellt haben, müssen die gefährdeten Kalenderereignisse bereinigen, um die "Einsteins Wurmloch" genannte Sicherheitslücke zu schließen.

Einstein Activity Capture (EAC) ist ein Tool, mit dem E-Mails und Kalenderereignisse zwischen Ihren Microsoft Exchange- oder Google-Konten und Salesforce synchronisiert werden können. Wenn man als Organisator ein Meeting erstellt, versucht Einstein, andere Salesforce-Benutzer wie Leads oder Kontakte zu finden, mit denen das Event synchronisiert werden kann.

Unabhängig davon ermöglichen Salesforce Communities Kunden und Partnern eine Schnittstelle zur Salesforce-Instanz von außerhalb des Unternehmens, wodurch sie unter anderem Support-Tickets öffnen, Fragen stellen oder Abonnements verwalten können. Wenn man eine Community-Site erstellt, wird ein spezieller Gastbenutzer angelegt, der nicht authentifizierte Benutzer repräsentiert. Dabei kann festgelegt werden, welche Teile der Community für Gäste, also letztlich das Internet, zugänglich sein sollen, ohne dass eine Anmeldung erforderlich ist.

Einsteins Wurmloch

Bis zum Sommer-Update 2021 wurden Gastbenutzer mit der E-Mail-Adresse des Salesforce-Administrators erstellt. Dementsprechend sah der Synchronisations-Prozess folgendermaßen aus: Nehmen wir an, der CTO sendet eine Outlook-Besprechungseinladung an den Salesforce-Administrator des Unternehmens namens Judy. Es handelt sich um ein sensibles, geschäftskritisches Meeting, an dem mehrere wichtige Akteure des Unternehmens beteiligt sind. Da der Gastbenutzer die gleiche E-Mail-Adresse wie Judy hat, passiert Folgendes:

  • Salesforce findet die Veranstaltung des CTO, bei der der Administrator ein Teilnehmer ist.
  • Salesforce sucht nach Benutzern und anderen Objekten mit einer E-Mail-Adresse, die mit den Teilnehmern übereinstimmt.
  • Salesforce findet dabei den Salesforce-Admin Judy und synchronisiert das Ereignis mit ihrem Kalender.
  • Salesforce findet auch den Gastnutzer und synchronisiert das Ereignis mit dem Kalender des Gastnutzers.

Dies hat zur Folge, dass die Veranstaltung und ihre Details (Teilnehmer, Thema, Einwahl, Zoom-Link und sogar die Antworten auf die Einladung) über den Gastbenutzer im Internet zugänglich sind. Mit einem Meeting-Link, einem Passwort und einer Teilnehmerliste könnte ein Angreifer unbemerkt an einem Meeting teilnehmen, in dem womöglich sensible und geschäftskritische Informationen ausgetauscht werden. Zudem können Angreifer die Daten nutzen, um Spearphishing-Angriffe auszuführen.

Abhilfe
Die Sicherheitsforscher von Varonis haben in einem Blogbeitrag [2] ein Skript veröffentlicht, das Salesforce-Administratoren in der Salesforce Development Console verwenden können, um das Problem zu beheben.
8.11.2021/dr

Tipps & Tools

Markt für Access-as-a-Service-Cyberkriminalität floriert [7.12.2021]

Eine neu erschienene Studie hat sich auf die undurchsichtige Lieferkette der Cyberkriminalität fokussiert, die für die derzeitige Zunahme von Ransomware-Angriffen maßgeblich ist: Initial-Access-Broker, die gerade auch in Deutschland stark vertreten sind. Sie beschaffen den Zugang zur Unternehmens-IT und lassen sich das auch versilbern. [mehr]

TPM-Reglementierungen in Windows 11 [18.11.2021]

Das neue Windows 11 erklärt das Trusted Platform Module 2.0 zur Pflicht – ob aus guten Gründen, untersuchen wir in unserem Online-Artikel. In diesem Zusammenhang erläutern wir unter anderem auch, wie Administratoren herausfinden, ob ihre Systeme und Geräte über den notwendigen TPM-Chip verfügen. Außerdem schildern wir, welche Optionen es für TPM in virtuellen Maschinen gibt. [mehr]

Fachartikel

Der Faktor Mensch in der Cybersicherheit [8.12.2021]

Cybersicherheit ist nicht mehr länger nur ein Spezialthema, mit dem sich lediglich Experten befassen müssen. Alle Organisationen sind heute dazu gezwungen, sich diesem Bereich zu widmen. Denn Cyberkriminelle haben nur ein Ziel: schnell Geld zu beschaffen. Hierzu passen sie ihre Taktiken kontinuierlich an und nutzen jede sich ihnen bietende Gelegenheit. Der Beitrag wirft ein Schlaglicht auf die Taktiken der Angreifer und zeigt, wie die Pandemie diesen in die Hände gespielt hat. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen