Alerta de segurança do Salesforce: Erro de API expõe dados de marketing

Alerta de segurança do Salesforce: Erro de API expõe dados de marketing . Dados da Marketing em Cloud foram potencialmente acessados ​​ou corrompidos nas últimas 6 Semanas.

A gigante do software de gerenciamento de relacionamento com clientes (CRM – customer relationship management) , Salesforce.com, alertou alguns usuários de sua Marketing Cloud de que dados armazenados por eles podem ter sido acessados ​​por terceiros ou inadvertidamente corrompidos devido a um erro da API que ocorreu de 4 de junho a 18 de julho.

Uma cópia do alerta da Salesforce, sediada em San Francisco, que foi distribuída por e-mail por volta das 18h, na noite de 02 de agosto, horário do Pacífico dos EUA, afirma que o erro envolveu a interface de programação de aplicativos REST da empresa.  “Durante um versionamento do Marketing Cloud entre 4 de junho de 2018 e 7 de julho, foi introduzida uma alteração de código que, em casos raros, poderia fazer com que as chamadas da API REST recuperassem ou gravassem dados da conta de um cliente para outro inadvertidamente“, de acordo com o alerta, cuja cópia foi obtida pelo Information Security Media Group. “Quando o problema ocorreu, a chamada da API pode ter falhado e gerado uma mensagem de erro em vez de gravar ou modificar dados.”

O Salesforce, desde então, publicou um artigo de conhecimento com uma breve visão geral do problema.

A má notícia para os clientes do Salesforce é que a gigante do SaaS – software-as-a-service – diz que não sabe se os dados foram inadvertidamente alterados ou maliciosamente adulterados, embora não tenha visto nenhuma evidência do último. “Não temos evidência de comportamento malicioso associado a esse problema“, disse um porta-voz da Salesforce ao ISMG.

Não temos evidência de comportamento malicioso associado a esse problema

Mas a assessoria de segurança não chega a dizer definitivamente que tal atividade não ocorreu. “Não podemos confirmar se seus dados foram visualizados ou modificados por outro cliente. Como resultado, estamos notificando todos os clientes potencialmente afetados que acessaram a Marketing Cloud durante esse período“, diz o alerta.

Embora a Salesforce continue realizando verificações e testes de qualidade adicionais em relação a esse problema, recomendamos que você monitore e analise seus dados com cuidado para garantir a precisão de sua conta“, diz o documento.


fonte: Alerta do site do Salesforce

Além disso, o Salesforce afirma que qualquer organização cujos usuários acessaram seus produtos do Marketing Cloud Email Studio ou do Predictive Intelligence, seja por meio da interface do usuário online ou de chamadas da API REST, pode ter seus dados da Marketing Cloud corrompidos.

 

Por que a atividade de registro do Salesforce não foi realizada?

O especialista em resposta a incidentes David Stubley, que comanda a firma de testes de segurança e consultoria 7 Elements, com sede em Edimburgo, diz estar surpreso que a Salesforce não possa dizer aos clientes se seus dados foram acessados ​​por outros ou alterados. “Na minha opinião, isso está abaixo das expectativas“, disse Stubley à ISMG. “Surpreende-me que uma organização desse tamanho não tenha um monitoramento e ‘logging’ efetivo. Eu gostaria de perguntar à eles: o que eles vão fazer agora?

 

O Salesforce encontrou o problema primeiro?

A assessoria do Salesforce não declara como sua equipe de segurança identificou ou soube pela primeira vez sobre o problema. O Salesforce ainda não comentou essa pergunta ao ISMG, bem como se estava logando as chamadas de API e, se não, se planeja fazê-lo agora. A empresa disse que rastreou o problema em “uma mudança de código recente introduzida durante uma versão do Marketing Cloud que modificou a forma como as chamadas da API REST foram processadas na Marketing Cloud” e que foi identificada em 18 de julho. “Quando a equipe de segurança do Salesforce tornou-se ciente do problema em 18 de julho de 2018, uma liberação de emergência (eRelease) foi emitida no mesmo dia para resolver o problema“, diz o documento.

A empresa emitiu seu alerta por e-mail para os clientes potencialmente afetados 15 dias depois.

Mas Stubley diz que conhece alguns clientes do Salesforce baseados no Reino Unido que foram avisados ​​sobre o problema por meio de uma ligação do gerente de contas do Salesforce, um dia antes do alerta de e-mail ser distribuído. “Todos os clientes foram aconselhados por um telefonema ou apenas um conjunto seletivo?” ele diz. “Não consigo ver a justificativa para um sistema de notificação de duas camadas, você deve permitir que todos os seus clientes potencialmente impactados saibam [ao mesmo tempo].

 

O que é Marketing Cloud?

Nuvem de marketing do Salesforce – fonte ISMG

Juntamente com as ofertas de vendas e serviços, os recursos de marketing do Salesforce formam há muito o seu principal conjunto de produtos essenciais. A premissa da Marketing Cloud é que ela permite que os usuários do Salesforce selecionem seus clientes business-to-consumer e business-to-business usando dados que já reuniram e armazenaram em seu sistema Salesforce CRM. “Mercado com confiança e segurança“, diz a Salesforce em seu site. “Se você tem dezenas ou bilhões de clientes, entregue suas mensagens personalizadas com segurança quando for mais importante“.

 

O que está em risco?

O alerta do Salesforce refere-se a três produtos ou serviços específicos:

  • API REST: Uma API ou interface de programação de aplicativos permite que dois aplicativos ou serviços se comuniquem. O comunicado informa que o problema ocorreu na API REST do Force.com e como ela interagiu com o Marketing Cloud. Embora a API REST tenha o Force.com – o produto de plataforma como serviço da Salesforce – em seu nome, “a Force.com não é afetada“, disse um porta-voz da Salesforce.
  • Marketing Cloud Email Studio: é uma ferramenta de arrastar e soltar projetada para enviar e-mails promocionais, de comércio eletrônico, transacionais e acionados.
  • Inteligência Preditiva do Marketing Cloud: Este produto é lançado pela Salesforce em seu site como uma ferramenta “que permite usar os dados comportamentais de seus clientes para recomendar produtos no seu site e por meio de comunicação por e-mail“.

 

Conselhos do Salesforce: “Revise seus dados”

Não está claro se os problemas da API REST podem ter exposto PII – Personally Identifiable Information  – ​​de qualquer pessoa na Europa. Em teoria, a Marketing Cloud teria acesso aos detalhes dos clientes e prospects dos usuários do sistema Salesforce, bem como informações potencialmente demográficas e outras usadas para “segmentar” clientes para fins de marketing.

O Information Commissioner’s Office, que aplica as leis de privacidade do Reino Unido, não respondeu imediatamente a um pedido de comentário sobre se estava ciente do alerta de segurança e se estava investigando. De acordo com o GDPR – Regulamento Geral de Proteção de Dados da UE, as organizações que expõem os PII dos residentes europeus devem alertar as autoridades relevantes dentro de 72 horas após o conhecimento sobre o incidente em potencial.

fonte: ISMG – Bank Info Security  & Salesforce

 

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!