Mind The Gap: Salesforce-hændelsen og den udviklende natur af cloud-risiko

By Kate O'Flaherty • 30. april 2026 • 7 minutters læsning

Hvordan kan virksomheder styrke deres modstandsdygtighed, efter at hackerkollektivet ShinyHunters udnyttede "alt for permissive" Salesforce-gæstebrugerkonfigurationer til at få adgang til data fra op til 400 organisationer?

Af Kate O'Flaherty

I marts udstedte Salesforce en advarsel til kunderne, at ShinyHunters hackingkollektiv udnyttede fejlkonfigurationer på offentligt tilgængelige Experience Cloud-websteder til at få adgang til følsomme data og holde virksomheder som gispe.

Angriberne havde tilsyneladende en modificeret version af et open source-værktøj som våben. AuraInspector, oprindeligt udviklet af Mandiant, til at udføre massescanning og finde konfigurationshuller for at angribe op til 400 organisationer.

Som en del af Salesforce Aura-frameworket til at identificere sikkerhedsfejlkonfigurationer på Experience Cloud-websteder, skabte angriberne en version af værktøjet, der "er i stand til at gå ud over identifikation til rent faktisk at udtrække data", advarede Salesforce i en rådgivende.

"Dette er den moderne angriberstrategi," siger Dean Garvey-North, CTO hos Microlise. "Brug legitime værktøjer, målret konfigurationssvagheder snarere end platformsårbarheder, og arbejd i internetskala."

Da modstandere udnyttede kunder med "alt for permissive gæstebrugerindstillinger", var Salesforce ikke skyld i hændelsen – i hvert fald ikke fra et juridisk synspunkt. Hændelsen er et godt eksempel på, hvordan cloudkonfiguration, identitetseksponering og modeller for delt ansvar skaber nye og ofte misforståede risikoområder.

Hvordan kan organisationer reducere eksponering og styrke modstandsdygtighed i cloud-drevne miljøer, hvor risikoen ofte ligger i kløften mellem platformens kapacitet og kundekonfiguration?

Fejlkonfigurationer

Som Salesforce-hændelsen viser, er fejlkonfigurationer, især omkring gæsteadgang og identitetstilladelser, fortsat en vedvarende kilde til dataeksponering.

Fejlkonfigurationer fortsætter, fordi organisationer ofte prioriterer brugervenlighed og hurtig digital implementering frem for sikkerhed. Dette giver utilsigtet uautoriserede eksterne brugere "brede, interne datatilladelser" i stedet for strengt at håndhæve en "Mindst mulige privilegier" adgangsmodel, siger Dray Agha, ledende sikkerhedschef hos Huntress.

Brugervenlighed og sikkerhed er "i spænding pr. design", og konfigurationsbeslutninger truffet på implementeringstidspunktet genovervejes sjældent, siger Garvey-North fra Microlise. "Salesforce Experience Cloud-portaler bruger en dedikeret gæstebrugerprofil, der giver uautoriserede besøgende mulighed for at se offentlige sider eller indsende formularer uden at logge ind. Når denne profil er forkert konfigureret med for mange tilladelser, bliver data, der ikke er beregnet til at være offentlige, direkte forespørgbare uden behov for login."

Problemet er strukturelt, siger Garvey-North. "Platforme leveres med tilladelige standardindstillinger for at reducere friktion for nye kunder. Implementeringsteams optimerer for at få tingene til at fungere. Sikkerhedsgennemgange sker på bestemte tidspunkter."

Men cloudkonfiguration er ikke statisk: "Hver ny portal, integration eller funktionsudrulning er en potentiel ny eksponeringsflade," påpeger Garvey-North. "Uden kontinuerlig konfigurationsovervågning stoler du i bund og grund på, at intet er ændret siden din sidste revision."

Hvem har skylden?

Salesforce er et eksempel på, hvordan funktioner designet til brugervenlighed, såsom offentlige portaler, API'er og gæsteadgang, introducerer nye og ofte undervurderede sikkerhedsrisici.

Disse funktioner ændrer ofte traditionelle sikkerhedsantagelser, siger Dana Simberkoff, chef for risiko, privatliv og informationssikkerhed hos AvePoint. "Brugervenlighedsdrevet design flytter ofte risikoen stille og roligt fra platformen til kunden."

Det kan derfor være udfordrende at finde ud af, hvor ansvaret ligger mellem cloududbydere og kunder – især når hændelser stammer fra konfigurationsproblemer snarere end sårbarheder i centrale platforme.

Angriberne sagde, at en "Salesforce-begrænsning" muliggjorde hændelsen. Alligevel har Salesforce selv været tydelig: Dette er ikke en platformssårbarhed, men et problem i, hvordan kunder har konfigureret gæstebrugertilladelser, siger Garvey-North.

Cloududbydere sikre platformen, men kunderne er ansvarlige for, hvordan den er konfigureret – herunder identitet, tilladelser og dataeksponering. "Det er her, de fleste organisationer kommer til kort," siger Stew Parkin, global CTO for Assured Data Protection. "De ender med at stole på point-in-time revisioner i miljøer, der konstant ændrer sig."

Modellen med delt ansvar er "veletableret i teorien og misforstås vedvarende i praksis", tilføjer Garvey-North fra Microlise. "Cloud-udbydere sikrer infrastrukturen og platformen. Kunderne er ansvarlige for, hvad de lægger på den, hvordan de konfigurerer adgang, og hvordan de styrer den over tid. Gabet, og hvor de fleste brud nu befinder sig, er i konfigurationslaget."

Automatisering, der muliggør angreb

Samtidig vokser angribere i kapacitet og bruger automatisering og legitime værktøjer til at identificere og udnytte svagheder på tværs af hundredvis af organisationer samtidigt. Mandiants CTO bekræftet Shiny Hunters brugte AuraInspector til at automatisere sårbarhedsscanninger i stor skala på tværs af Salesforce-miljøer.

"Når forsvarere tænker på cloud-risiko, har de stadig en tendens til at tænke i individuelle hændelser," siger Garvey-North.

Men angribere tænker i overfladeareal. "Ethvert fejlkonfigurationsmønster, der findes på tværs af tusindvis af organisationer, er en enkelt automatiseret kampagne væk fra masseudnyttelse," siger Garvey-North.

I mellemtiden øger taktikker som iscenesatte lækager og vishing-kampagner virkningen af denne type hændelser.

ShinyHunters satte en offentlig deadline og advarede om, at stjålne data ville blive frigivet, medmindre ofrene overholdt afpresningskrav.

Gruppen kørte parallelle vished-operationer, hvor de efterlignede IT-personale og dirigerede medarbejdere til websteder til indsamling af legitimationsoplysninger for at indsamle single sign-on-legitimationsoplysninger. multi faktor godkendelse (MFA) koder. Kombinationen er bevidst, siger Garvey-North: "Stjæl data via fejlkonfiguration, høst legitimationsoplysninger via social engineering, og afpress derefter ved hjælp af begge dele."

Det kommer på et tidspunkt med stigende regulatoriske forventninger til databeskyttelse, adgangskontrol og ansvarlighed. Med mange områder, der nu har databeskyttelseslove, og stigningen i gruppesøgsmål, er forebyggelse af eksponering af data nu ofte den vigtigste drivende faktor i betalingen af afpresningskrav.

"Selvom det klart ikke anbefales, er det ofte billigere at betale for at forhindre frigivelse af dataene end at stå over for bøder og sagsomkostninger, der følger af offentliggørelsen," siger Tony Gee, ledende cybersikkerhedskonsulent hos 3B Data Security.

Bro over synlighedskløften

Hændelser som Salesforce-angrebene fremhæver en vedvarende udfordring: Organisationer er i stigende grad afhængige af cloudplatforme, men sikkerhedsansvaret er distribueret og ikke altid klart forstået.

Virksomheder er nødt til at bevæge sig ud over at antage, at cloud-platformsikkerhed er tilstrækkelig, hen imod en mere kontinuerlig, systembaseret tilgang til konfigurationsstyring, identitetsstyring og -sikring.

Traditionel sikkerhed er i høj grad afhængig af statiske, punktvise revisioner, der "fuldstændig overser de subtile, kontinuerlige konfigurationsforskydninger og API-eksponeringer, der kendetegner moderne cloudrisici," siger Huntress' Agha.

Dette efterlader "et farligt hul i synligheden, hvor legitime funktioner i al hemmelighed misbruges", advarer han.

Med dette i tankerne er der nogle praktiske skridt, som sikkerheds- og compliance-ledere bør tage for at forbedre synligheden og kontrollen over identitet, adgang og konfigurationsindstillinger.

Ledere skal skifte til en "privat-som-standard" sikkerhedspolitik ved aktivt at revidere tilladelser til eksterne gæsteprofiler, deaktivere uautoriseret offentlig API-adgang, medmindre det er strengt nødvendigt, og implementere kontinuerlig overvågning af hændelseslogfiler for at fange unormale dataforespørgsler, ifølge Agha.

"Vær utrolig nysgerrig på den anvendte infrastruktur, og antag, at udbyderen ikke har implementeret standardsikkerhed," råder han. "Undersøg de sikkerhedsmuligheder, der er tilgængelige i konfigurationen af tredjepartsværktøjer."

En vigtig defensiv kontrol er stærk due diligence af leverandører og løbende risikostyring med tredjepart, siger Gee fra 3B Data Security. Han anbefaler en tilgang med mindst mulige privilegier til datadeling, hvor kun nødvendige data deles med tredjeparten.

Microlises Garvey-North råder til at stille leverandører de samme spørgsmål, som man ville stille sin egen infrastruktur: "Hvad er jeres sikre standardkonfigurationer, hvordan registrerer I unormal adgang på platformniveau, og hvordan ser jeres offentliggørelsesproces ud, når noget går galt?"

Samtidig er det afgørende at have en robust reaktionsproces for at begrænse risikoen for bøder og retssager, siger Gee. "At demonstrere stærk cyberrobusthed er blevet set som en afgørende faktor for bødeniveauet. At ikke gøre noget og stole på den glitrende tredjepartsmarkedsføring er ikke et gyldigt forsvar og fører ofte til større bøder og nemme sejre i gruppesøgsmål."

Samtidig rammer som f.eks. ISO 27001 hjælpe ved at kræve strenge, løbende risikovurderinger og systematiske adgangskontrolpolitikker. Dette hjælper med at transformere cloudsikkerhed fra en "indstil og glem"-afkrydsningsfelt til en "kontinuerligt styret proces, der tilpasser komplekse miljøer til robuste standarder", siger Agha.

Hvor ISO 27001 virkelig tilfører værdi i komplekse digitale miljøer, er ved at fremtvinge organisatorisk klarhed: Hvem ejer hver kontrol, hvordan acceptabel risiko ser ud, og hvordan hændelser eskaleres og læres af, siger Garvey-North. "Denne ledelsesstruktur bliver bindevævet mellem din sikkerhedstekniske kapacitet og din risikoappetit på bestyrelsesniveau. Uden den har du værktøjer uden ansvarlighed."