Let op die gaping: Die Salesforce-insident en die ontwikkelende aard van wolkrisiko

By Kate O'Flaherty • 30 April 2026 • 7 min lees

Nadat ShinyHunters se kuberkrakery-kollektief voordeel getrek het uit "oormatig permissiewe" Salesforce-gasgebruikerkonfigurasies om toegang tot data van tot 400 organisasies te verkry, hoe kan firmas veerkragtigheid versterk?

Deur Kate O'Flaherty

In Maart het Salesforce 'n waarskuwing aan kliënte dat die ShinyHunters hacking kollektief het voordeel getrek uit wankonfigurasies op publiek-gerigte Experience Cloud-webwerwe om toegang tot sensitiewe data te verkry en firmas gyselaar te hou.

Die aanvallers het blykbaar 'n gewysigde weergawe van 'n oopbron-instrument bewapen. AuraInspekteur, oorspronklik ontwikkel deur Mandiant, om massaskandering uit te voer en konfigurasiegapings te vind om tot 400 organisasies aan te val.

As deel van die Salesforce Aura-raamwerk om sekuriteitswankonfigurasies in Experience Cloud-webwerwe te identifiseer, het die aanvallers 'n weergawe van die instrument geskep "wat verder as identifikasie kan gaan om eintlik data te onttrek", het Salesforce gewaarsku in 'n ... adviserende.

“Dit is die moderne aanvaller se speelboek,” sê Dean Garvey-North, CTO by Microlise. “Gebruik wettige gereedskap, teiken konfigurasie-swakpunte eerder as platformkwesbaarhede, en werk op internetskaal.”

Met teenstanders wat kliënte uitbuit met "oormatig permissiewe gasgebruikersinstellings", was Salesforce nie te blameer vir die voorval nie – ten minste vanuit 'n wetlike oogpunt. Die voorval is 'n uitstekende voorbeeld van hoe wolkkonfigurasie, identiteitsblootstelling en gedeelde verantwoordelikheidsmodelle nuwe en dikwels misverstane risikogebiede skep.

Hoe kan organisasies blootstelling verminder en veerkragtigheid versterk in wolkgedrewe omgewings waar die risiko dikwels in die gaping tussen platformvermoë en kliëntkonfigurasie lê?

Wankonfigurasies

Soos die Salesforce-voorval demonstreer, bly wankonfigurasies, veral rondom gastoegang en identiteitsregte, 'n aanhoudende bron van datablootstelling.

Wankonfigurasies duur voort omdat organisasies gereeld bruikbaarheid en vinnige digitale ontplooiing bo sekuriteit prioritiseer. Dit gee onbedoeld aan ongemagtigde eksterne gebruikers "breë, interne datatoestemmings" eerder as om streng af te dwing "Minste voorreg" toegangsmodel, sê Dray Agha, senior bestuurder van sekuriteitsbedrywighede by Huntress.

Bruikbaarheid en sekuriteit is “deur ontwerp in spanning”, en konfigurasiebesluite wat tydens implementering geneem word, word selde hersien, sê Microlise se Garvey-North. “Salesforce Experience Cloud-portale gebruik 'n toegewyde gasgebruikersprofiel wat ongemagtigde besoekers toelaat om publieke bladsye te besigtig of vorms in te dien sonder om aan te meld. Wanneer daardie profiel verkeerd gekonfigureer is met oormatige toestemmings, word data wat nie bedoel is om publiek te wees nie, direk navraagbaar, sonder dat aanmelding nodig is.”

Die probleem is struktureel, sê Garvey-North. “Platforms word met toelaatbare standaardinstellings gestuur om wrywing vir nuwe kliënte te verminder. Implementeringspanne optimaliseer om dinge te laat werk. Sekuriteitsoorsigte vind op 'n gegewe tydstip plaas.”

Maar wolkkonfigurasie is nie staties nie: “Elke nuwe portaal, integrasie of funksie-uitrol is 'n potensiële nuwe blootstellingsoppervlak,” wys Garvey-North daarop. “Sonder deurlopende konfigurasiemonitering vertrou jy in wese dat niks sedert jou laaste oudit verander het nie.”

Wie is te blameer?

Salesforce is 'n voorbeeld van hoe funksies wat ontwerp is vir bruikbaarheid, soos openbare portale, API's en gastoegang, nuwe en dikwels onderskatte sekuriteitsrisiko's inbring.

Hierdie kenmerke verander dikwels tradisionele sekuriteitsaannames, sê Dana Simberkoff, hoofrisiko-, privaatheids- en inligtingsekuriteitsbeampte by AvePoint. “Bruikbaarheidsgedrewe ontwerp verskuif risiko dikwels stilweg van die platform na die kliënt.”

Dit kan dan uitdagend wees om uit te werk waar verantwoordelikheid tussen wolkverskaffers en kliënte lê – veral wanneer voorvalle voortspruit uit konfigurasieprobleme, eerder as kernplatformkwesbaarhede.

Aanvallers het gesê 'n "Salesforce-beperking" het die voorval moontlik gemaak. Tog was Salesforce self duidelik: Dit is nie 'n platformkwesbaarheid nie, maar 'n probleem in hoe kliënte gasgebruikertoestemmings gekonfigureer het, sê Garvey-North.

Wolkverskaffers beveilig die platform, maar kliënte is verantwoordelik vir hoe dit gekonfigureer is – insluitend identiteit, toestemmings en data-blootstelling. “Dis waar die meeste organisasies tekort skiet,” sê Stew Parkin, globale CTO Assured Data Protection. “Hulle maak uiteindelik staat op tydstip-oudits in omgewings wat voortdurend verander.”

Die gedeelde verantwoordelikheidsmodel is “goed gevestig in teorie en word voortdurend in die praktyk misverstaan”, voeg Microlise se Garvey-North by. “Wolkverskaffers beveilig die infrastruktuur en die platform. Kliënte is verantwoordelik vir wat hulle daarop plaas, hoe hulle toegang konfigureer en hoe hulle dit oor tyd beheer. Die gaping, en waar die meeste oortredings nou voorkom, is in die konfigurasielaag.”

Outomatisering wat aanvalle moontlik maak

Terselfdertyd groei aanvallers in vermoë, deur outomatisering en wettige gereedskap te gebruik om swakhede in honderde organisasies gelyktydig te identifiseer en te benut. Mandiant se CTO bevestig Shiny Hunters het AuraInspector gebruik om kwesbaarheidskanderings op skaal in Salesforce-omgewings te outomatiseer.

“Wanneer verdedigers aan wolkrisiko dink, is hulle steeds geneig om in terme van individuele voorvalle te dink,” sê Garvey-North.

Maar aanvallers dink in terme van oppervlakte. “Enige wankonfigurasiepatroon wat oor duisende organisasies bestaan, is 'n enkele outomatiese veldtog weg van massa-uitbuiting,” sê Garvey-North.

Intussen verhoog taktieke soos georganiseerde lekkasies en vishing-veldtogte die impak van hierdie tipe voorvalle.

ShinyHunters het 'n openbare sperdatum gestel en gewaarsku dat gesteelde data vrygestel sal word tensy slagoffers aan afpersingseise voldoen.

Die groep het parallelle visjing-bedrywighede bedryf, IT-personeel nageboots en werknemers na geloofsbriewe-insamelingswebwerwe verwys om enkel-aanmeldingsbewyse vas te lê en multi faktor verifikasie (MFA) kodes. Die kombinasie is doelbewus, sê Garvey-North: “Steel data via wankonfigurasie, oes geloofsbriewe via sosiale manipulasie, en dan afpers met albei.”

Dit kom in 'n tyd van stygende regulatoriese verwagtinge rondom databeskerming, toegangsbeheer en aanspreeklikheid. Met baie gebiede wat nou databeskermingswette het, en die toename in groepsgedinge, is die voorkoming van blootstelling van data nou dikwels die hoof dryfveer in die betaling van afpersingseise.

“Alhoewel dit duidelik nie aanbeveel word nie, is dit dikwels goedkoper om te betaal om die vrystelling van die data te voorkom, as om die boete en regskoste wat uit die openbaarmaking voortspruit, te dra,” sê Tony Gee, hoof-kuberveiligheidskonsultant by 3B Data Security.

Oorbrugging van die Sigbaarheidskloof

Voorvalle soos die Salesforce-aanvalle beklemtoon 'n volgehoue uitdaging: Organisasies is toenemend afhanklik van wolkplatforms, maar sekuriteitsverantwoordelikheid is verspreid en word nie altyd duidelik verstaan nie.

Besighede moet verder beweeg as om te aanvaar dat wolkplatformsekuriteit voldoende is, na 'n meer deurlopende, stelselgebaseerde benadering tot konfigurasiebestuur, identiteitsbeheer en versekering.

Tradisionele sekuriteit steun swaar op statiese, tydstip-oudits wat “die subtiele, deurlopende konfigurasie-afwykings en API-blootstellings wat moderne wolkrisiko's kenmerk, heeltemal mis,” sê Huntress se Agha.

Dit laat “’n gevaarlike sigbaarheidsgaping waar wettige kenmerke stilweg misbruik word”, waarsku hy.

Met dit in gedagte, is daar 'n paar praktiese stappe wat sekuriteits- en voldoeningsleiers moet neem om sigbaarheid en beheer oor identiteits-, toegangs- en konfigurasie-instellings te verbeter.

Leiers moet oorskakel na 'n "privaat-by-standaard" sekuriteitshouding deur eksterne gasprofieltoestemmings aktief te oudit, ongemagtigde openbare API-toegang te deaktiveer tensy dit streng noodsaaklik is, en deurlopende monitering van gebeurtenislogboeke te implementeer om abnormale data-navrae op te spoor, volgens Agha.

“Wees ongelooflik nuuskierig oor die infrastruktuur wat gebruik word en neem aan dat die verskaffer nie sekuriteit by verstek geïmplementeer het nie,” adviseer hy. “Ondersoek die sekuriteitsopsies wat beskikbaar is in die konfigurasie van derdeparty-instrumente.”

'n Belangrike verdedigingsbeheer is sterk verskaffersondersoek en deurlopende risikobestuur deur derde partye, sê Gee van 3B Data Security. Hy beveel 'n benadering van minste voorregte tot datadeling aan, met slegs die nodige data wat met die derde party gedeel word.

Microlise se Garvey-North beveel aan dat verskaffers die vrae vra wat jy van jou eie infrastruktuur sou vra: "Wat is jou veilige-by-standaard-konfigurasies, hoe bespeur jy anomale toegang op platformvlak, en hoe lyk jou openbaarmakingsproses wanneer iets verkeerd loop?"

Intussen is 'n robuuste reaksieproses fundamenteel om die risiko van boetes en regsgedinge te beperk, sê Gee. “Die demonstrasie van sterk kuberveerkragtigheid is gesien as 'n beslissende faktor in die vlak van boetes. Om niks te doen en op die glansryke derdeparty-bemarking staat te maak, is nie 'n geldige verweer nie en lei dikwels tot groter boetes en maklik-wen-klasgedinge.”

Terselfdertyd, raamwerke soos ISO 27001 help deur streng, deurlopende risikobepalings en sistematiese toegangsbeheerbeleide te verplig. Dit help om wolksekuriteit te omskep van 'n "stel en vergeet"-blokkie na 'n "deurlopend beheerde proses wat komplekse omgewings met veerkragtige standaarde in lyn bring", sê Agha.

Waar ISO 27001 werklik waarde toevoeg in komplekse digitale omgewings, is om organisatoriese duidelikheid af te dwing: Wie besit elke beheermaatreël, hoe aanvaarbare risiko lyk, en hoe voorvalle geëskaleer en waaruit geleer word, sê Garvey-North. “Daardie bestuursstruktuur word die bindweefsel tussen jou sekuriteitsingenieursvermoë en jou risiko-aptyt op direksievlak. Daarsonder het jy gereedskap sonder aanspreeklikheid.”