Пресс-релизы //

Varonis: уязвимость Salesforce компрометировала данные календарей Outlook и Google

Компания Varonis, один из новаторов мирового рынка безопасности и аналитики данных, сообщает об обнаружении уязвимости в платформе Salesforce. Из-за нее организации, которые одновременно используют сервисы Salesforce Communities и Einstein Activity Capture, могли неосознанно открыть доступ к записям календарей Outlook или Google своих администраторов.

Выявленная уязвимость была названа «Кротовая нора». Она открывает посторонним лицам доступ к записям календарей администраторов систем, в которых может содержаться конфиденциальная информация: персональные данные, электронные письма, URL-адреса и коды доступа к онлайн-конференциям, содержание их повесток дня, вложенные файлы. Обладая этими данными, злоумышленник получал возможность участвовать в конфиденциальных встречах инкогнито. Кроме того, такая информация могла использоваться для проведения таргетированных фишинговых атак или компрометации данных.

Эксперты Varonis сообщили об обнаружении уязвимости компании Salesforce, и она уже приняла меры для ее устранения.

Однако, тем организациям, чьи сообщества Salesforce были созданы до лета 2021 года необходимо немедленно предпринять ряд мер:
Изменить в данных своего аккаунта адрес гостевой электронной почты с действительного на фиктивный (например test@example.com или guest@yourcompany.com).
Удалить из календарей важные записи, которые плагин Einstein Activity Capture ассоциировал с гостевым пользователем.
Полный алгоритм действий описан в блоге Varonis.

Einstein Activity Capture (EAC) – инструмент, который позволяет интегрировать в единой консоли Salesforce данные пользовательских аккаунтов Microsoft Exchange или Google и Salesforce. Одна из возможностей этого плагина – автоматическая синхронизация событий в пользовательских календарях. Она происходит, когда EAC определяет в создаваемой записи о событии упоминание пользователей с совпадающими адресами электронной почты.

«Гостевые» пользовательские аккаунты создавались в Salesforce с адресом электронной почты администратора вплоть до выпуска очередного релиза платформы летом 2021 года. И, если они упоминались в календарной записи о собрании, то EAC автоматически добавлял ее в календарь гостевого аккаунта. В результате через него доступ к ней оказывался открытым для всех пользователей с правами гостя.

По прогнозам аналитиков Varonis, такие некорректные конфигурации и мелкие уязвимости будут возникать всё чаще. Взаимосвязь различных SaaS-сервисов, как и объем передаваемых между ними данных возрастает что увеличивает риски и усложняет управление SaaS-инфраструктурами.

О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

Контактное лицо: Татьяна Алексеева
Компания: Varonis
Добавлен: 19:41, 11.11.2021 Количество просмотров: 267
Страна: Россия

Nexign: рынок ПО для телекома будет развиваться за счет модернизации BSS и инструментов искусственного интеллекта, Nexign, 21:14, 24.12.2025, Россия52
В Nexign оценили развитие рынка программного обеспечения для телеком-отрасли в 2025 году и дали прогнозы на 2026-й.

Исследование Axenix: у взаимоотношений банков и маркетплейсов есть два сценария, Axenix, 21:37, 24.12.2025, Россия84

Консалтинговая компания Axenix провела исследование конвергенции маркетплейсов и банков на российском и мировом рынках. Результаты исследования показывают, как влияет на рынок сближение и взаимопроникновение секторов финансов и электронной коммерции

CorpSoft24 подвел итоги года на рынке информационной безопасности, CorpSoft24, 21:37, 24.12.2025, Россия80
В 2025 году российский рынок информационной безопасности (ИБ) стремительно развивался в ответ на требования цифровизации, регуляторные изменения и усиление угроз со стороны киберпреступности.

ФСБ продлила сертификат на средство защиты «Континент-АП» от «Кода Безопасности», Код Безопасности, 21:29, 24.12.2025, Россия75

Специалисты ФСБ России провели успешные испытания «Континент-АП» Версия 4 (сборки 4.1.689.0 и 4.1.725.0) на соответствие требованиям к средствам криптографической защиты информации (СКЗИ).

Адаптивное решение для перехода на ISO 20022 успешно внедрено в российском банке, ЕГАР Сервис, 21:28, 24.12.2025, Россия75

Компания EGAR успешно завершила первый проект по внедрению и интеграции конвертера Swift-сообщений «СМАРТКОНВЕРТ» в инфраструктуру российского банка. Проект реализован в ответ на глобальные изменения Swift по обязательному переходу участников финансового рынка на стандарт ISO 20022. Внедрение конвертера позволит Заказчику обеспечить плавную миграцию платежных потоков без остановки операционной деятельности.

«Оптимакрос» — в числе крупнейших вендоров в сфере строительства по версии TAdviser, Оптимакрос, 21:27, 24.12.2025, Россия71

ГК «Оптимакрос» заняла 4 место в рейтинге ИТ-разработчиков 2024 года, чьи программные продукты используются в строительной отрасли. В итоговый список аналитики TAdviser включили компании с наибольшей выручкой от реализации ИТ-проектов на базе собственных решений.

«Эвалар» и VARSEAS заключили соглашение о стратегическом сотрудничестве, VARSEAS, 21:25, 24.12.2025, Россия37

ЗАО «Эвалар» и ООО «АС РС» (VARSEAS) заключили соглашение о стратегическом партнерстве, направленном на развитие инновационных решений в сфере продукции для здоровья и укрепление позиций сторон на российском и международном рынках. Подписание документов о сотрудничестве состоялось накануне на предприятии компании «Эвалар» в Бийске.

Настенные шкафы Filum WALL BOX – надежное и эргономичное решение для сетевой инфраструктуры, ГК X-Com, 21:23, 24.12.2025, Россия53

Filum объявляет о запуске линейки настенных шкафов WALL BOX.

SpaceVM вошла в список лидеров среди российских платформ виртуализации 2025 от «Компьютерры», ДАКОМ М, 20:57, 23.12.2025, Россия118
Платформа серверной виртуализации SpaceVM компании «ДАКОМ М» вошла в тройку лидеров ежегодного Рейтинга российских платформ виртуализации 2025, который подготовил аналитический отдел издания «Компьютерра».

РЕД СОФТ и АЭРОДИСК подтвердили совместимость СХД ENGINE AQ с РЕД ОС, Аэродиск, 20:57, 23.12.2025, Россия119

Проведенные тесты подтверждают стабильную и эффективную работу совместного решения, что позволяет предлагать клиентам комплексные отечественные ИТ-продукты, соответствующие требованиям импортозамещения и информационной безопасности.

Axenix и IT Vectura формируют стратегический альянс для создания новой практики цифровой трансформации логистики, Axenix, 20:56, 23.12.2025, Россия132
Консалтинговая технологическая компания Axenix и разработчик платформенных решений IT Vectura подписали соглашение о стратегическом партнерстве.

UDV Group: Контроль версий проектов ПЛК в АСУ ТП, UDV Group, 20:56, 23.12.2025, Россия133

Работу станков, линий и технологических комплексов определяют проекты ПЛК, и любое несанкционированное изменение в их коде может привести не только к аварии и простоям, но и к угрозе безопасности людей.

Банк Уралсиб оценил итоги применения системы активной бизнес-аналитики Proceset, Инфомаксимум, Банк Уралсиб, 20:37, 23.12.2025, Россия47

Банк Уралсиб оценил результаты применения системы активной бизнес-аналитики Proceset, которая помогла повысить эффективность работы сотрудников с новым программным продуктом.

АО «ЦРЭТ» модернизировал ИТ-инфраструктуру ЭТП «Торги223» и обеспечил переход на облачную платформу, АО «Центр развития электронных торгов», 20:54, 23.12.2025, Россия126

АО «Центр развития электронных торгов» (оператор ЭТП «Торги223») объявляет о завершении проекта по переносу инфраструктуры на облачную платформу Yandex Cloud.

Завершено строительство завода по производству автоклавного газобетона в Зеленограде, ГК ФСК, 20:53, 23.12.2025, Россия130

Завод по производству автоклавного газобетона (входит в периметр ГК ФСК), расположенный на территории промышленно-строительного комплекса в Зеленограде, получил разрешение на ввод в эксплуатацию. Комплекс возводит ГК ФСК в рамках масштабного инвестиционного проекта (МаИП). По программе стимулирования создания мест приложения труда завод обеспечит более 100 высокотехнологичных рабочих мест.