Saleforce advarer om kritisk API-fejl, der stod på i seks uger: "Det er ikke muligt for os at bekræfte, om dine data er blevet set eller ændret af andre kunder"

Annonceindlæg fra Pointsharp

Hvordan DKTV gennem automatisering kom i front med deres identitetsstyring

Manuelle og semi-automatiske strategier for identitetsstyring virker - lige indtil nogen beder om dokumentation. For at undgå denne fare har DKTV taget kontrol over sin identitets- og adgangsstrategi.

Data fra Salesforce Marketing Cloud kan være blevet tilgået af tredjepart eller ændret på grund af en API-fejl, der stod på fra 4. juni til 18. juli.

Det skriver Bank Info Security.

Ifølge Salesforce er der tale om en kodeændring, der kan have medført, at en delmængde kald fra en REST API utilsigtet har hentet eller skrevet data mellem forskellige kundekonti. Mere konkret kan kunder, der har brugt Email Studio og Predictive Intelligence i perioden, være ramt.

Salesforce blev opmærksom på problemet 18. juli. Samme dag udsendte CRM-virksomheden en eRelease, der rettede op på fejlen for hele Marketing Cloud-stacken.

Ved ikke om data er kompromitteret

Ifølge en talsperson fra Salesforce, er der intet tegn på, at fejlen har medført ondsindet adfærd. Men samtidig kan Salesforce ikke afvise, at kunders data kan være blevet tilgået eller ændret af andre kunder.

"Det er ikke muligt for os at bekræfte, om dine data er blevet set eller ændret af andre kunder. Som en konsekvens notificerer vi alle kunder, der potentielt er omfattet, som tilgik Marketing Cloud i denne periode," skriver Salesforce i en meddelelse.

Salesforce rettede fejlen samme dag, men sendte først en besked ud til de kunder, der potentielt kunne være ramt, 15 dage senere.

Læs også: Er Salesforce på vej til at købe danske Sitecore?

Det er under forventningerne

Incident response-ekspert, David Stubley, siger til Bank Info Security, at han er overrasket over, at Salesforce ikke kan afgøre, om kunders data er blevet tilgået af en tredjepart eller ændret.

"Efter min mening er det her under forventningerne. Jeg er overrasket over, at en organisation af denne størrelse ikke har en effektiv overvågning eller logging på plads. Jeg ville spørge dem: Hvad vil de sætte på plads nu?," siger sikkerhedseksperten.

Det står ikke klart, om API-fejlen også kan have medført læk af personlige informationer, hvilket i så fald ville betyde, at Salesforce, med henvisning til GDPR, havde pligt til at indberette hændelsen.

Blandt Salesforces større kunder finder vi virksomheder som danske A.P. Møller Mærsk og Nestle, Aldo, Dunkin' Donuts med flere.

Salesforce fortsætter med at undersøge problemet, men anbefaler kunder, der har været omfattet af problemerne at overvåge og gemmemgå deres data omhyggeligt.

Læs også: Det svære valg for enhver it-chef: Skal du vælge cloud, jern eller outsourcing? Sådan træffer du det bedste valg