Bien que Salesforce ait rapidement corrigé le bug, le risque demeure - toutes les entreprises qui ont créé leur communauté Salesforce avant l’été 2021 doivent effacer les événements et autres réunions de leur calendrier. Tout cela est dû à un bug que Varonis appelle Einstein’s Wormhole.

Varonis décrit le risque d’exposition du bug dans son billet de blog :

Nitay Bachrach, chercheur en sécurité chez Varonis, indique :

« Les organisations s’appuient de plus en plus sur des applications et des services SaaS conçus pour fonctionner ensemble. Si ces interconnexions peuvent contribuer à optimiser chaque heure de la journée de travail de votre équipe, elles peuvent laisser vos données exposées et vulnérables. Les détails comptent - un paramètre par défaut ici, une mauvaise configuration par là - et c’est potentiellement toute l’organisation qui est exposée.

Il est essentiel d’identifier et de combler les lacunes de sécurité de vos solutions SaaS. Dans le cas du Einstein’s Wormhole, deux fonctionnalités apparemment déconnectées se sont réunies d’une manière inattendue et indésirable qui, si elle n’est pas corrigée, peut vous mettre en danger.

Nous pensons que la plus grande leçon à retenir est que les organisations doivent comprendre le rôle qui est le leur dans la sécurisation des services SaaS. Dès lors que vous placez des données dans vos applications SaaS, il vous incombe de protéger ces données. ».

Pour rappel, Varonis alertait en août dernier sur les risques liés à l’exposition des données stockées dans le Cloud :

Près de 44% des privilèges du Cloud sont mal configurés, les utilisateurs ayant donc plus d’accès que nécessaire

3 identités Cloud sur 4 (pour des contractants externes) restent actives après leur départ

3 utilisateurs sur 5 sont des administrateurs fantômes

15% des employés transfèrent des données critiques pour l’entreprise vers leurs comptes Cloud personnels