Пресс-релизы //

Varonis: уязвимость Salesforce компрометировала данные календарей Outlook и Google

Компания Varonis, один из новаторов мирового рынка безопасности и аналитики данных, сообщает об обнаружении уязвимости в платформе Salesforce. Из-за нее организации, которые одновременно используют сервисы Salesforce Communities и Einstein Activity Capture, могли неосознанно открыть доступ к записям календарей Outlook или Google своих администраторов.

Выявленная уязвимость была названа «Кротовая нора». Она открывает посторонним лицам доступ к записям календарей администраторов систем, в которых может содержаться конфиденциальная информация: персональные данные, электронные письма, URL-адреса и коды доступа к онлайн-конференциям, содержание их повесток дня, вложенные файлы. Обладая этими данными, злоумышленник получал возможность участвовать в конфиденциальных встречах инкогнито. Кроме того, такая информация могла использоваться для проведения таргетированных фишинговых атак или компрометации данных.

Эксперты Varonis сообщили об обнаружении уязвимости компании Salesforce, и она уже приняла меры для ее устранения.

Однако, тем организациям, чьи сообщества Salesforce были созданы до лета 2021 года необходимо немедленно предпринять ряд мер:
Изменить в данных своего аккаунта адрес гостевой электронной почты с действительного на фиктивный (например test@example.com или guest@yourcompany.com).
Удалить из календарей важные записи, которые плагин Einstein Activity Capture ассоциировал с гостевым пользователем.
Полный алгоритм действий описан в блоге Varonis.

Einstein Activity Capture (EAC) – инструмент, который позволяет интегрировать в единой консоли Salesforce данные пользовательских аккаунтов Microsoft Exchange или Google и Salesforce. Одна из возможностей этого плагина – автоматическая синхронизация событий в пользовательских календарях. Она происходит, когда EAC определяет в создаваемой записи о событии упоминание пользователей с совпадающими адресами электронной почты.

«Гостевые» пользовательские аккаунты создавались в Salesforce с адресом электронной почты администратора вплоть до выпуска очередного релиза платформы летом 2021 года. И, если они упоминались в календарной записи о собрании, то EAC автоматически добавлял ее в календарь гостевого аккаунта. В результате через него доступ к ней оказывался открытым для всех пользователей с правами гостя.

По прогнозам аналитиков Varonis, такие некорректные конфигурации и мелкие уязвимости будут возникать всё чаще. Взаимосвязь различных SaaS-сервисов, как и объем передаваемых между ними данных возрастает что увеличивает риски и усложняет управление SaaS-инфраструктурами.

О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

Контактное лицо: Татьяна Алексеева
Компания: Varonis
Добавлен: 19:41, 11.11.2021 Количество просмотров: 266
Страна: Россия

SpaceVM вошла в список лидеров среди российских платформ виртуализации 2025 от «Компьютерры», ДАКОМ М, 20:57, 23.12.2025, Россия83
Платформа серверной виртуализации SpaceVM компании «ДАКОМ М» вошла в тройку лидеров ежегодного Рейтинга российских платформ виртуализации 2025, который подготовил аналитический отдел издания «Компьютерра».

РЕД СОФТ и АЭРОДИСК подтвердили совместимость СХД ENGINE AQ с РЕД ОС, Аэродиск, 20:57, 23.12.2025, Россия85

Проведенные тесты подтверждают стабильную и эффективную работу совместного решения, что позволяет предлагать клиентам комплексные отечественные ИТ-продукты, соответствующие требованиям импортозамещения и информационной безопасности.

Axenix и IT Vectura формируют стратегический альянс для создания новой практики цифровой трансформации логистики, Axenix, 20:56, 23.12.2025, Россия94
Консалтинговая технологическая компания Axenix и разработчик платформенных решений IT Vectura подписали соглашение о стратегическом партнерстве.

UDV Group: Контроль версий проектов ПЛК в АСУ ТП, UDV Group, 20:56, 23.12.2025, Россия96

Работу станков, линий и технологических комплексов определяют проекты ПЛК, и любое несанкционированное изменение в их коде может привести не только к аварии и простоям, но и к угрозе безопасности людей.

Банк Уралсиб оценил итоги применения системы активной бизнес-аналитики Proceset, Инфомаксимум, Банк Уралсиб, 20:37, 23.12.2025, Россия42

Банк Уралсиб оценил результаты применения системы активной бизнес-аналитики Proceset, которая помогла повысить эффективность работы сотрудников с новым программным продуктом.

АО «ЦРЭТ» модернизировал ИТ-инфраструктуру ЭТП «Торги223» и обеспечил переход на облачную платформу, АО «Центр развития электронных торгов», 20:54, 23.12.2025, Россия91

АО «Центр развития электронных торгов» (оператор ЭТП «Торги223») объявляет о завершении проекта по переносу инфраструктуры на облачную платформу Yandex Cloud.

Завершено строительство завода по производству автоклавного газобетона в Зеленограде, ГК ФСК, 20:53, 23.12.2025, Россия95

Завод по производству автоклавного газобетона (входит в периметр ГК ФСК), расположенный на территории промышленно-строительного комплекса в Зеленограде, получил разрешение на ввод в эксплуатацию. Комплекс возводит ГК ФСК в рамках масштабного инвестиционного проекта (МаИП). По программе стимулирования создания мест приложения труда завод обеспечит более 100 высокотехнологичных рабочих мест.

«Гравитон» поставил ноутбуки в Министерство экономического развития Российской Федерации, Гравитон, 20:52, 23.12.2025, Россия90

Компания «Гравитон», российский производитель вычислительной техники, завершила поставку современных ноутбуков моделей «Гравитон» Н14И-Т и «Гравитон» Н17И-Т с предустановленной российской операционной системой Astra Linux SE. Партнером по поставке устройств выступила компания «Софтлайн Энтерпрайс Солюшнc».

Сразу 4 проекта на базе Optimacros участвуют в конкурсе «Проект года–2025» от Global CIO, Оптимакрос, 20:51, 23.12.2025, Россия104
В 2025 году на престижный конкурс ИТ-проектов Global CIO подано более 480 заявок. Среди них — четыре кейса на платформе Optimacros, реализованные партнерами вендора. Голосование уже открыто и продлится до 11 января 2026 года.

Компания GreenMDC в 3 раза увеличила производственные мощности, GreenMDC, 20:50, 23.12.2025, Россия85

GreenMDC, разработчик и производитель модульных центров обработки данных, в 3 раза увеличил производственные мощности. Промышленная площадка компании выросла до 4,5 тыс. кв. м. Это позволит не только сократить сроки изготовления дата-центров, но и выпускать несколько крупных масштабируемых моделей одновременно.

ГК «Юзтех» присоединилась к Российскому Союзу Химиков, ГК «Юзтех», 20:49, 23.12.2025, Россия91

ГК «Юзтех», разработчик ИТ-продуктов и сервисов, стала членом Российского Союза предприятий и организаций химического комплекса. Партнерство откроет новый спектр возможностей для совместной работы с ведущими участниками рынка над цифровыми решениями, направленными на оптимизацию процессов в химическом производстве.

Мастер-класс “Росплатформа: отказоустойчивость, миграции и масштабирование без простоя” успешно состоялся 11 декабря 2025 года, Паладин Энтерпрайз, 20:49, 23.12.2025, Россия90

11 декабря 2025 года ГК "Паладин" совместно с "Р-Платформой" провели практический мастер-класс на тему «Росплатформа: отказоустойчивость, миграции и масштабирование без простоя». Мероприятие собрало аудиторию системных администраторов, инженеров виртуализации и специалистов ЦОД в судостроительной отрасли, заинтересованных в технологиях импортозамещения и повышении надежности ИТ-инфраструктуры.

«Кит-Софт» перешел на «Яндекс 360 для бизнеса», Кит-Системс, 20:49, 23.12.2025, Россия92

Компания «Кит-Софт» завершила перевод ключевых бизнес-процессов на платформу Яндекс 360. Подрядчиком проекта выступила ее головная организация – системный интегратор «Кит-системс», ранее отработавший методологию миграции в собственной инфраструктуре.

Hybrid: автоматизация рекламных кампаний повышает их эффективность до 200%, Hybrid, 20:44, 23.12.2025, Россия47

AdTech-экосистема Hybrid, специализирующаяся на высокотехнологичных разработках в области интернет-рекламы, по итогам второго квартала 2025 года зафиксировала значительный рост эффективности рекламных кампаний, в которых используется автоматизация.

Space VDI вошла в ТОП рейтинга российских VDI-платформ 2025 года по версии «Компьютерры», ДАКОМ М, 20:44, 23.12.2025, Россия44
Аналитический отдел «Компьютерры» опубликовал ежегодный рейтинг российских разработчиков ПО для VDI. По его результатам, Space VDI, решение компании «ДАКОМ М», заняло второе место, набрав 201 балл.