Aktualności

Salesforce ostrzega klientów przed błędnymi konfiguracjami. Co grozi firmom?

Bartosz

13 cze 2025 — 1 min read

Salesforce potwierdził wykrycie pięciu podatności w ramach swojej platformy branżowej Industries, będącej częścią ekosystemu Customer 360. Wykrycie to towarzyszyło szerszemu raportowi badaczy z AppOmni, którzy wskazali łącznie 21 potencjalnych zagrożeń — z czego większość wynika z błędnych konfiguracji po stronie klientów. To kolejny sygnał, że model współdzielonej odpowiedzialności w chmurze wciąż sprawia organizacjom trudności.

Zidentyfikowane luki mają zróżnicowaną wagę — od umiarkowanych (CVSS 5.3) po poważne (7.5). W najgorszym scenariuszu atakujący może ominąć mechanizmy kontroli dostępu i uzyskać wgląd w zaszyfrowane dane klientów. Trzy z pięciu luk Salesforce załatał, jednak dwie pozostałe wymagają działań konfiguracyjnych po stronie klientów, co wpisuje się w obowiązujący w modelach SaaS paradygmat: dostawca dba o infrastrukturę, klient o konfigurację.

Szesnaście pozostałych zagrożeń zidentyfikowanych przez AppOmni nie wynika z błędów samego Salesforce, lecz z możliwych niedociągnięć w zarządzaniu konfiguracją. Chodzi m.in. o brak wymuszania kontroli dostępu, nieautoryzowany odczyt kluczy API czy błędne buforowanie, które może skutkować ujawnieniem danych między użytkownikami. Zważywszy, że wiele firm korzystających z Salesforce Industries działa w sektorach regulowanych (np. finansowym czy zdrowotnym), ryzyko potencjalnych naruszeń przepisów, takich jak RODO, rośnie.

Na tym tle pojawia się problem niedopasowania poziomu kompetencji użytkowników do poziomu odpowiedzialności, jaki nakłada na nich platforma. Salesforce Industries kierowana jest głównie do użytkowników nietechnicznych, co – zdaniem badaczy – tworzy „lukę w dojrzałości”. Systemy te wymagają bowiem tego samego poziomu czujności i wiedzy operacyjnej, co klasyczne oprogramowanie enterprise.

Przypadek Salesforce to kolejne ostrzeżenie dla firm inwestujących w chmurę: automatyzacja i „gotowe” rozwiązania nie zwalniają z odpowiedzialności za bezpieczeństwo danych. Szczególnie że – jak pokazała seria wycieków danych u klientów Snowflake w 2024 roku – nieprawidłowe konfiguracje mogą kosztować więcej niż błędy samych dostawców.

Coming soon

This is The Kinetic Brief, a brand new site by Bartosz Martyka that's just getting started. Things will be up and running here shortly, but you can subscribe in the meantime if you'd like to stay up to date and receive emails when new content is

AI democratises cybercrime. Windows on target for hackers

Artificial intelligence, widely recognised as a driver of innovation in business, has become an equally powerful tool in the hands of criminals. The latest Elastic 2025 Global Threat Report, based on analysis of more than one billion data points, sheds light on a worrying trend: the barrier to entry into

AI demokratyzuje cyberprzestępczość. Windows na celowniku hakerów

Sztuczna inteligencja, powszechnie uznawana za motor napędowy innowacji w biznesie, stała się równie potężnym narzędziem w rękach przestępców. Najnowszy Elastic 2025 Global Threat Report, oparty na analizie ponad miliarda punktów danych, rzuca światło na niepokojący trend: bariera wejścia do świata cyberprzestępczości drastycznie maleje, a zautomatyzowane ataki stają się nowym standardem

The end of the 'lone wolf'. The future of cyber security is managed services

Statistics can be unforgiving, and in the case of cyber security, they shed new light on the state of modern business. It is estimated that just 0.009 per cent of the world’s one million companies have a chief information security officer, or CISO, on staff. For years, this

Read more

Coming soon

AI democratises cybercrime. Windows on target for hackers

AI demokratyzuje cyberprzestępczość. Windows na celowniku hakerów

The end of the 'lone wolf'. The future of cyber security is managed services