A gigante tecnológica Salesforce.com alerta alguns utilizadores que a Cloud de Marketing pode ter sido acedida por terceiros, em que todos os dados introduzidos pelos clientes podem ter sido inadvertidamente corrompidos devido a um erro de API que ocorreu entre 4 de junho e 18 de julho.
O comunicado foi emitido pela Salesforce, em que afirmava que o erro envolvou a interface de programação de aplicações (API) REST da empresa.
“During a Marketing Cloud release between June 4, 2018, and July 7, a code change was introduced that, in rare cases, could have caused REST API calls to retrieve or write data from one customer’s account to another inadvertently,” according to the alert, a copy of which was obtained by Information Security Media Group. “Where the issue occurred, the API call may have failed and generated an error message rather than writing or modifying data.”
A Salesforce diz que não pode confirmar ou negar se o erro foi usado por alguém com intenção maliciosa ou se os dados foram corrompidos de propósito ou inadvertidamente por algum hacker.
Mas existe uma má notícia para os clientes da Salesforce, o que denota falta de segurança na integridade do seu serviço, ora vejamos: a gigante tecnológica não sabe se os dados foram inadvertidamente alterados ou maliciosamente adulterados.
“While Salesforce continues to conduct additional quality checks and testing in relation to this issue, we recommend that you monitor and review your data carefully to ensure the accuracy of your account,” according to its alert.
“We are unable to confirm if your data was viewed or modified by another customer. As a result, we are notifying all potentially impacted customers who accessed the Marketing Cloud during this period,” it says.
Mas não ficamos por aqui. Além disso, a Salesforce afirma que qualquer organização cujos utilizadores tenham acedido os serviços Marketing Cloud Email Studio ou Predictive Intelligence, seja por meio da interface do utilizador on-line ou API REST, podem ter, agora, os seus dados da Marketing Cloud totalmente corrompidos, sem que a Salesforce o consiga provar — não existem evidências.
Porque a atividade de alteração de registos não foi efetuada pela Salesforce?
O especialista e incident responder David Stubley, da firma 7 Elements sediada em Edinbugh, diz que está surpreso de como a Salesforce não consegue provar a integridade dos dados acedidos pelos criminosos.
“In my opinion, this is below expectations,” Stubley tells ISMG. “I am surprised that an organization of this size does not have effective monitoring or logging in place. I would be asking them: What are they going to put in place now?”
Como a Salesforce detetou este problema?
A Salesforce não emitiu ainda qualquer comunicado como este incidente foi identificado. A Salesforce ainda não respondeu a qualquer tipo de comentários publicamente, pelo menos até à data da escrita desta notícia.
The company did say that it traced the problem to “a recent code change introduced during a Marketing Cloud release that modified the way REST API calls were processed in the Marketing Cloud” and that it was spotted on July 18.
“When the Salesforce security team became aware of the issue on July 18, 2018, an emergency release (eRelease) was issued the same day to resolve the issue,” it says.
A empresa, 15 dias depois da identificação do comproimetimento, emitou um notificado para os seus clientes.
Quais os ricos do comprometimento?
O alerta do Salesforce refere-se a três produtos ou serviços específicos:
- Force.com API: An API, or application programming interface, allows two applications or services to communicate, including with Force.com, which is Salesforce’s platform-as-a-service product. Force.com be accessed via HTTP using the Salesforce REST API. The service is used to build cloud-based apps as well as websites.
- Marketing Cloud Email Studio: This is a drag-and-drop tool designed for sending promotional, e-commerce, transactional and triggered emails.
- Marketing Cloud Predictive Intelligence: This product is pitched by Salesforce on its website as being a tool “that allows you to use your customers behavioral data to recommend products both on your website and through email communication.”
Como a Salesforce não consegue detalhadamente assegurar a integridade dos dados, deixa então um alerta a todos os utilizadores: “Review your Data!“.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.