Компания Salesforce, производитель одноименного CRM-решения, предупредила своих клиентов о возможной утечке данных. По сведениям разработчиков, одно из обновлений их облачной платформы Marketing Cloud, выпущенное в промежутке между 4 июня и 7 июля 2018 года, содержало ошибку в программном интерфейсе.

Этот баг мог спровоцировать ряд вызовов REST API. В результате информация из аккаунтов определенных клиентов могла быть некорректно извлечена или перезаписана в другой аккаунт. Кроме того, инцидент мог привести к повреждению некоторых данных.

В Salesforce отмечают, что ошибка затронула подписчиков двух служб платформы Markleting Cloud — Email Studio и Predictive Intelligence. Производитель обнаружил дефект 18 июля и в тот же день выпустил экстренный патч.

По словам представителей разработчика, они не нашли никакого подтверждения злонамеренного использования бага в API Marketing Cloud. Однако с уверенностью сказать, что никто не видел и не изменял конфиденциальные данные клиентов, в Salesforce не могут.

Специалисты компании продолжают проводить проверки в связи с инцидентом, но рекомендуют подписчикам не оставаться в стороне и самостоятельно удостовериться, что с их аккаунтами все в порядке.

Представители ИБ-сообщества удивились неосведомленности Salesforce по поводу сохранности данных клиентов. По словам руководителя Эдинбургской компании 7 Elements Дэвида Стабли (David Stubley), он не ожидал, что крупная организация не мониторит активность на своих платформах.

Облачные сервисы нередко становятся источником утечек данных. Во многих случаях это происходит из-за неправильных настроек, однако риск нарушения конфиденциальности из-за уязвимого ПО также существует. Так, в июле Apache Foundation закрыла бреши в своем продукте OpenWhisk, через которые злоумышленники могли получить доступ к чужой информации.

Категории: Другие темы