|
|
 |
|
|
 |
Varonis: уязвимость Salesforce компрометировала данные календарей Outlook и Google
Компания Varonis, один из новаторов мирового рынка безопасности и аналитики данных, сообщает об обнаружении уязвимости в платформе Salesforce. Из-за нее организации, которые одновременно используют сервисы Salesforce Communities и Einstein Activity Capture, могли неосознанно открыть доступ к записям календарей Outlook или Google своих администраторов.
Выявленная уязвимость была названа «Кротовая нора». Она открывает посторонним лицам доступ к записям календарей администраторов систем, в которых может содержаться конфиденциальная информация: персональные данные, электронные письма, URL-адреса и коды доступа к онлайн-конференциям, содержание их повесток дня, вложенные файлы. Обладая этими данными, злоумышленник получал возможность участвовать в конфиденциальных встречах инкогнито. Кроме того, такая информация могла использоваться для проведения таргетированных фишинговых атак или компрометации данных.
Эксперты Varonis сообщили об обнаружении уязвимости компании Salesforce, и она уже приняла меры для ее устранения.
Однако, тем организациям, чьи сообщества Salesforce были созданы до лета 2021 года необходимо немедленно предпринять ряд мер:
Изменить в данных своего аккаунта адрес гостевой электронной почты с действительного на фиктивный (например test@example.com или guest@yourcompany.com).
Удалить из календарей важные записи, которые плагин Einstein Activity Capture ассоциировал с гостевым пользователем.
Полный алгоритм действий описан в блоге Varonis.
Einstein Activity Capture (EAC) – инструмент, который позволяет интегрировать в единой консоли Salesforce данные пользовательских аккаунтов Microsoft Exchange или Google и Salesforce. Одна из возможностей этого плагина – автоматическая синхронизация событий в пользовательских календарях. Она происходит, когда EAC определяет в создаваемой записи о событии упоминание пользователей с совпадающими адресами электронной почты.
«Гостевые» пользовательские аккаунты создавались в Salesforce с адресом электронной почты администратора вплоть до выпуска очередного релиза платформы летом 2021 года. И, если они упоминались в календарной записи о собрании, то EAC автоматически добавлял ее в календарь гостевого аккаунта. В результате через него доступ к ней оказывался открытым для всех пользователей с правами гостя.
По прогнозам аналитиков Varonis, такие некорректные конфигурации и мелкие уязвимости будут возникать всё чаще. Взаимосвязь различных SaaS-сервисов, как и объем передаваемых между ними данных возрастает что увеличивает риски и усложняет управление SaaS-инфраструктурами.
О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.
Контактное лицо: Татьяна Алексеева (написать письмо автору)
Компания: Varonis (все новости этой организации)
Добавлен: 19:44, 11.11.2021
Количество просмотров: 330
Страна: Россия
| Сервисы «Телфин» интегрированы с CRM-системой S2, Телфин, 23:10, 27.05.2025, Россия |
309 |
| Провайдер коммуникационных сервисов «Телфин» совместно с командой разработчиков S2 завершили интеграцию виртуальной АТС «Телфин.Офис» с российской системой S2. Пользователи сервисов могут контролировать качество обслуживания клиентов, не выходя из CRM. |
|
| Разработчики WhyHappen и ФЛАТ представили российский омниканальный контактный центр, WhyHappen, 23:07, 27.05.2025, Россия |
173 |
| Компании объявили об успешной интеграции омниканальной платформы Avelana с решением для организации корпоративной телефонии ФЛАТ SoftSwitch. Представленный программный комплекс обеспечит корпоративным пользователям расширенные возможности работы с голосовыми каналами и текстовыми обращениями в рамках единого цифрового пространства с централизованным управлением. |
 |
| «Бастион» — платиновый партнер «Кода Безопасности», «Бастион», 23:07, 27.05.2025, Россия |
168 |
| Компания по информационной безопасности «Бастион» получила статус Platinum Partner разработчика ИБ-средств «Код Безопасности». Он подтверждает компетенции компании в части поставки, внедрения и поддержки решений, предназначенных для защиты виртуальной инфраструктуры, сетей передачи данных, рабочих станций и серверов. |
|
| Суперкомпьютер на основе сервера Crusader установили в Ярославском техническом университете, STEP LOGIC, 23:06, 27.05.2025, Россия |
167 |
| Суперкомпьютер для обучения ИИ-моделей появился в Ярославском государственном техническом университете. Применение современных вычислительных мощностей дает вузу возможность продуктивно работать с данными и увеличить скорость их обработки. Проект реализовала команда системного интегратора STEP LOGIC с использованием серверов Crusader от 3Logic Group. |
|
|
|
|
|
|
|
Разделы //
Новости по странам //
Сегодня у нас публикуются //
|
|
