salesforce experience cloud'da kitlesel tarama operasyonu var
arkadaşlar, salesforce’tan bir uyarı geldi. kötü niyetli tipler, experience cloud sitelerini kitlesel olarak tarıyor ve yanlış yapılandırmaları istismar ediyor. işin ilginç tarafı, aurainspector diye açık kaynaklı bir aracı modifiye edip kullanıyorlar bu iş için.
ne oluyor yani?
salesforce’un açıklamasına göre, saldırganlar müşterilerin herkese açık experience cloud sitelerindeki aşırı izinli guest user (misafir kullanıcı) yapılandırmalarını istismar ediyor. yani şöyle ki, normalde misafir kullanıcıların görmemesi gereken hassas verilere erişim sağlıyorlar.
aurainspector normalde salesforce lightning component’lerini debug etmek için kullanılan meşru bir araç. ama saldırganlar bunu modifiye edip, otomatik tarama aracına çevirmişler. böylece binlerce salesforce sitesini tarayıp, zayıf yapılandırılmış olanları tespit ediyorlar.
spoiler: bu bir zafiyet değil, yanlış yapılandırma problemi. yani salesforce’un bir açığı yok, müşterilerin güvenlik ayarlarını doğru yapmamalarından kaynaklanan bir durum.
nasıl çalışıyor bu iş?
- saldırganlar modifiye edilmiş aurainspector ile salesforce experience cloud sitelerini kitlesel olarak tarıyor
- guest user profillerine aşırı izin verilmiş siteleri tespit ediyorlar
- bu izinleri kullanarak hassas verilere (müşteri bilgileri, dahili veriler vs.) erişim sağlıyorlar
- verileri çekip çıkıyorlar
klasik “yanlış yapılandırma” senaryosu işte. sistemde açık yok, ama ayarlar yanlış yapılmış.
kimler etkileniyor?
| Sistem | Durum |
|---|---|
| Salesforce Experience Cloud | ✅ Etkileniyor (yanlış yapılandırılmışsa) |
| Diğer Salesforce Ürünleri | ⚠️ Yapılandırmaya bağlı |
hemen yapmanız gerekenler
agalar, eğer salesforce experience cloud kullanıyorsanız şunları yapın:
1. guest user izinlerini kontrol edin
# salesforce setup'a gidin
# Users > Profiles > [Your Site] Profile (Guest User)
# Object Settings kısmından tüm objelerin izinlerini gözden geçirin
yapmanız gerekenler:
- guest user profilinin hangi objelere erişebildiğini kontrol edin
- sadece gerçekten herkese açık olması gereken verilere izin verin
- hassas verilerin bulunduğu objeler için guest user erişimini kapatın
2. sharing settings’i gözden geçirin
# Setup > Security > Sharing Settings
# her obje için "Default External Access" ayarlarına bakın
dikkat: “public read/write” veya “public read only” ayarları varsa, bunları “private” yapın ve sadece gerekli yerlerde sharing rule’lar ile açın.
3. field level security’yi kontrol edin
# Setup > Object Manager > [Object] > Fields
# her alan için field level security'yi kontrol edin
# guest user profili için hassas alanları kapatın
4. audit trail’i inceleyin
salesforce’ta setup audit trail ve field history tracking’i kontrol edin. şüpheli aktivite var mı diye bakın:
- beklenmedik veri erişimleri
- anormal sayıda api çağrısı
- guest user tarafından yapılan sıradışı işlemler
ek güvenlik önlemleri
rate limiting uygulayın:
- experience cloud sitelerinizde rate limiting aktif olsun
- aşırı api çağrılarını engelleyin
ip kısıtlamaları:
- mümkünse guest user erişimini bilinen ip aralıklarıyla sınırlayın
- trusted ip ranges kullanın
monitoring:
# salesforce event monitoring'i aktif edin
# şüpheli aktiviteleri tespit etmek için alertler kurun
captcha ekleyin:
- public form’larınıza captcha ekleyin
- bot trafiğini zorlaştırın
neden bu kadar önemli?
arkadaşlar, bu tür yanlış yapılandırmalar ciddi veri sızıntılarına yol açabiliyor. saldırganlar:
- müşteri bilgilerine
- finansal verilere
- dahili dokümanlara
- kişisel bilgilere
erişim sağlayabiliyor. sonra da bu verileri dark web’de satıyorlar veya fidye istiyorlar.
edit: salesforce’un kendi güvenlik ekibi bu aktiviteyi tespit etmiş ve müşterilerini uyarmış. yani şirket üzerine düşeni yapmış, şimdi sıra bizde.
test etme
yapılandırmalarınızı test etmek için:
- inkognito modda sitenizi ziyaret edin (giriş yapmadan)
- developer console’u açın
- hangi api endpoint’lerine erişebildiğinize bakın
- görmemeniz gereken bir veri görüyorsanız, problem var demektir
önce test ortamında deneyin, sonra production’a geçin. yoksa işler karışabilir.
kaynaklar
- Salesforce Security Advisory
- Salesforce Experience Cloud Security Best Practices
- AuraInspector GitHub Repository
özet: salesforce experience cloud kullanıyorsanız, guest user izinlerinizi bugün kontrol edin. saldırganlar aktif olarak tarama yapıyor ve yanlış yapılandırılmış siteleri tespit ediyor. hassas verileriniz çalınmadan önce harekete geçin.
yedek almadan bu ayarları değiştirmeyin, sonra “çalışmıyor” diye ağlamayın.
şimdilik bu kadar, iyi çalışmalar agalar.
Bu içerik yapay zeka tarafından oluşturulmuştur.