Пресс-релизы //

Varonis: уязвимость Salesforce компрометировала данные календарей Outlook и Google

Компания Varonis, один из новаторов мирового рынка безопасности и аналитики данных, сообщает об обнаружении уязвимости в платформе Salesforce. Из-за нее организации, которые одновременно используют сервисы Salesforce Communities и Einstein Activity Capture, могли неосознанно открыть доступ к записям календарей Outlook или Google своих администраторов.

Выявленная уязвимость была названа «Кротовая нора». Она открывает посторонним лицам доступ к записям календарей администраторов систем, в которых может содержаться конфиденциальная информация: персональные данные, электронные письма, URL-адреса и коды доступа к онлайн-конференциям, содержание их повесток дня, вложенные файлы. Обладая этими данными, злоумышленник получал возможность участвовать в конфиденциальных встречах инкогнито. Кроме того, такая информация могла использоваться для проведения таргетированных фишинговых атак или компрометации данных.

Эксперты Varonis сообщили об обнаружении уязвимости компании Salesforce, и она уже приняла меры для ее устранения.

Однако, тем организациям, чьи сообщества Salesforce были созданы до лета 2021 года необходимо немедленно предпринять ряд мер:
Изменить в данных своего аккаунта адрес гостевой электронной почты с действительного на фиктивный (например test@example.com или guest@yourcompany.com).
Удалить из календарей важные записи, которые плагин Einstein Activity Capture ассоциировал с гостевым пользователем.
Полный алгоритм действий описан в блоге Varonis.

Einstein Activity Capture (EAC) – инструмент, который позволяет интегрировать в единой консоли Salesforce данные пользовательских аккаунтов Microsoft Exchange или Google и Salesforce. Одна из возможностей этого плагина – автоматическая синхронизация событий в пользовательских календарях. Она происходит, когда EAC определяет в создаваемой записи о событии упоминание пользователей с совпадающими адресами электронной почты.

«Гостевые» пользовательские аккаунты создавались в Salesforce с адресом электронной почты администратора вплоть до выпуска очередного релиза платформы летом 2021 года. И, если они упоминались в календарной записи о собрании, то EAC автоматически добавлял ее в календарь гостевого аккаунта. В результате через него доступ к ней оказывался открытым для всех пользователей с правами гостя.

По прогнозам аналитиков Varonis, такие некорректные конфигурации и мелкие уязвимости будут возникать всё чаще. Взаимосвязь различных SaaS-сервисов, как и объем передаваемых между ними данных возрастает что увеличивает риски и усложняет управление SaaS-инфраструктурами.

О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

Контактное лицо: Татьяна Алексеева
Компания: Varonis
Добавлен: 19:41, 11.11.2021 Количество просмотров: 195
Страна: Россия

LG Wash Tower & LG Styler & LG CordZero All-in-One Tower: «башни» в помощь городским принцессам, LG Electronics, 01:45, 03.06.2024, Россия59

Помните, как в детстве зачитывались сказками о прекрасных принцессах, живущих в башне - под защитой от опасностей, подстерегающих юных дев со всех сторон?

«АРЕНЗА-ПРО» объявила о утверждении нового состава совета директоров, Arenza, 01:29, 03.06.2024, Россия67
Первая в России лизинговая финтех-компания ООО «АРЕНЗА-ПРО» (Arenza) объявила о смене состава совета директоров.

Работники СЛД «Сольвычегодск» организовали на предприятии место для кроссбукинга, филиал "Северный" ООО "ЛокоТех-Сервис", 00:58, 03.06.2024, Россия61

Шкаф для обмена книгами установлен в техническом классе сервисного локомотивного депо и уже пополнен изданиями о железнодорожном транспорте и классической литературой.

Вышло обновление системы расширенной аналитики «Дельта BI», Дельта BI, 00:52, 03.06.2024, Россия63
Разработчик self-service платформы «Дельта BI», входящей в топ-5 платформ бизнес-аналитики по версии CNews Analytics, анонсирует выход обновления 2023.12.

ПОДГОТОВИТЬСЯ К ЛЕТНЕМУ СЕЗОНУ? ЛЕГКО! ВМЕСТЕ С ПЛАТФОРМОЙ FITSTARS НА УМНЫХ ТЕЛЕВИЗОРАХ LG, LG Electronics, 00:51, 03.06.2024, Россия59

Весна всё больше заявляет о себе, готовя природу, настроение и планы на тёплое лето. Подготовиться к солнечному сезону отпусков можно, например, посещая различные спортивные секции за пределами дома. Но что если хочется сэкономить время на дорогу и провести больше времени с близкими людьми?

Общественный Совет по развитию такси призывает власть и бизнес к диалогу, АНО "Общественный совет по развитию такси", 00:50, 03.06.2024, Россия68

С 30 по 31 мая 2024 года в Екатеринбурге состоится XI Всероссийская конференция «Современное такси», на которой планируется обсудить и предложить решения для сдерживания роста тарифов на такси и развития безопасных перевозок.

PROF-IT GROUP стал платиновым партнером компании WINNUM, PROF-IT GROUP, 00:42, 03.06.2024, Россия56

По итогам 2023 года российский промышленный интегратор PROF-IT GROUP стал платиновым партнером компании WINNUM, разработчика решений для промышленного интернета вещей.

Агентство Demis Group включено в реестр малых технологических компаний, Demis Group, 00:39, 03.06.2024, Россия54

Digital-агентство Demis Group получает статус малой технологической компании. Этот статус открывает новые горизонты и возможности для развития и инвестиций, а также способствует закреплению в сознании клиентов имиджа надежной и перспективной компании.

Аспро: Приорити 2.0 — новая эра для корпоративных сайтов, Аспро, 00:39, 03.06.2024, Россия53
Компания Аспро представляет новое решение для создания корпоративных сайтов — Аспро: Приорити 2.0. Продукт объединяет современные инструменты для продвижения бизнеса в любой сфере: от производства до IT.

BIA Technologies впервые запустит «Школу разработчиков 1С», BIA Technologies, 00:33, 03.06.2024, Россия52

С 15 мая 2024 года системный интегратор BIA Technologies объявляет о наборе участников в новый бесплатный образовательный проект, который позволит новичкам в разработке 1С и специалистам с опытом развить свои навыки.

Ярославский ЭРЗ завершил весенний этап профориентационной акции «Неделя без турникета»., Ярославский электровозоремонтный завод им. Б. П. Бещева, 22:45, 01.06.2024, Россия137

Ярославский электровозоремонтный завод им. Б. П. Бещева (ЯЭРЗ, входит в АО «Желдорреммаш») завершил весенний этап Всероссийской акции «Неделя без турникета».

C3 Solutions – генеральный партнер конференции ИКС-МЕДИА «Data Center Design & Engineering», C3 Solutions, 22:32, 01.06.2024, Россия143

Компания C3 Solutions выступит генеральным партнером международной конференции для профессионалов в области инженерной инфраструктуры и эксплуатации ЦОД DCDE.

Как не копить и купить: «Выберу.ру» составил рейтинг лучших автокредитов без первого взноса за апрель 2024 года, Финансовый маркетплейс «Выберу.ру», 22:24, 01.06.2024, Россия150
«Выберу.ру подготовил рейтинг банков с самыми выгодными потребителям условиями автокредитов без обязательного первого взноса при покупке любых машин — с пробегом или новых.

B2B-маркетплейс "на_полке" стал новатором спецпредложений на рынке оптовых продаж, "на_полке", 22:23, 01.06.2024, Россия149

Компания «на_полке» стала первым B2B-маркетплейсом на рынке оптовых продовольственных закупок, сделавшим ставку на маркетинговые инструменты, свойственные рынку B2C. Начиная с конца 2023 года отдельным направлением в маркетинг-плане компании стали промоактивности, которые показали большую отдачу и открыли «на_полке» новые идеи коммуникации с целевой аудиторией.

Axenix выводит на рынок систему поддержки принятия решений SmartAx, Axenix, 22:14, 01.06.2024, Россия143

Компания Axenix выводит на рынок новый продукт – систему поддержки принятия решений SmartAx. Решение обеспечивает нативную интеграцию с технологиями машинного обучения, бизнес-правилами, внешними и внутренними источниками данных.