Cyberbezpieczeństwo

Salesforce ostrzega klientów przed błędnymi konfiguracjami. Co grozi firmom?

Salesforce potwierdził istnienie pięciu podatności w swojej platformie branżowej Industries, ale to tylko część większego problemu. Większość z 21 zagrożeń odkrytych przez AppOmni wynika z błędnych konfiguracji po stronie klientów, co ponownie stawia pod znakiem zapytania praktyczność modelu współodpowiedzialności w chmurze.

Kuba Kowalczyk
Kuba Kowalczyk
2 Min
Salesforce

Salesforce potwierdził wykrycie pięciu podatności w ramach swojej platformy branżowej Industries, będącej częścią ekosystemu Customer 360. Wykrycie to towarzyszyło szerszemu raportowi badaczy z AppOmni, którzy wskazali łącznie 21 potencjalnych zagrożeń — z czego większość wynika z błędnych konfiguracji po stronie klientów. To kolejny sygnał, że model współdzielonej odpowiedzialności w chmurze wciąż sprawia organizacjom trudności.

Zidentyfikowane luki mają zróżnicowaną wagę — od umiarkowanych (CVSS 5.3) po poważne (7.5). W najgorszym scenariuszu atakujący może ominąć mechanizmy kontroli dostępu i uzyskać wgląd w zaszyfrowane dane klientów. Trzy z pięciu luk Salesforce załatał, jednak dwie pozostałe wymagają działań konfiguracyjnych po stronie klientów, co wpisuje się w obowiązujący w modelach SaaS paradygmat: dostawca dba o infrastrukturę, klient o konfigurację.

Szesnaście pozostałych zagrożeń zidentyfikowanych przez AppOmni nie wynika z błędów samego Salesforce, lecz z możliwych niedociągnięć w zarządzaniu konfiguracją. Chodzi m.in. o brak wymuszania kontroli dostępu, nieautoryzowany odczyt kluczy API czy błędne buforowanie, które może skutkować ujawnieniem danych między użytkownikami. Zważywszy, że wiele firm korzystających z Salesforce Industries działa w sektorach regulowanych (np. finansowym czy zdrowotnym), ryzyko potencjalnych naruszeń przepisów, takich jak RODO, rośnie.

Na tym tle pojawia się problem niedopasowania poziomu kompetencji użytkowników do poziomu odpowiedzialności, jaki nakłada na nich platforma. Salesforce Industries kierowana jest głównie do użytkowników nietechnicznych, co – zdaniem badaczy – tworzy „lukę w dojrzałości”. Systemy te wymagają bowiem tego samego poziomu czujności i wiedzy operacyjnej, co klasyczne oprogramowanie enterprise.

Ad imageAd image

Przypadek Salesforce to kolejne ostrzeżenie dla firm inwestujących w chmurę: automatyzacja i „gotowe” rozwiązania nie zwalniają z odpowiedzialności za bezpieczeństwo danych. Szczególnie że – jak pokazała seria wycieków danych u klientów Snowflake w 2024 roku – nieprawidłowe konfiguracje mogą kosztować więcej niż błędy samych dostawców.

TEMATY:
Udostępnij

Biuletyn

Dołącz do najlepszego biuletynu w branży ICT!

Nie spamujemy! Przeczytaj naszą politykę prywatności, aby uzyskać więcej informacji.

Lider, przywództwo
Rozwój biznesu

Jak AI zmienia przywództwo? Nowe kompetencje liderów w cyfrowym świecie

Bartosz Martyka
OpenAI Flex
AI

OpenAI tworzy przeglądarkę AI. Czy zagrozi Google Chrome?

Izabela Myszkowska
SiPearl
Sprzęt

SiPearl Rhea1: Europejski procesor dla superkomputera Jupiter trafia do produkcji

Izabela Myszkowska
Japonia, Data center
Data center

W Japonii chcą stworzyć pływające data center o sporej mocy. Ambitny projekt rodzi pytania

Klaudia Ciesielska