• はてなブックマーク
  • テクノロジー
  • Salesforceの設定不備に起因した外部からのアクセス事案についてまとめてみた - piyolog
  • Twitterでシェア
  • Facebookでシェア

Salesforceの設定不備に起因した外部からのアクセス事案についてまとめてみた - piyolog

テクノロジー カテゴリーの変更を依頼 記事元:piyolog.hatenadiary.jp
適切な情報に変更
284 usersがブックマーク コメント29

    記事へのコメント29

    • 注目コメント
    • 新着コメント
    smken
    smken Lightning云々でなくデフォOffの「ゲストユーザー権限でObjectの参照が可能」をonに変えてたのがどうかしてる。Objectはセールスフォース用語でテーブルやぞ。UI用意しないからとanonymousにread権与えてAPIで持ってかれるって何?

    2020/12/28 リンク

    その他
    gfx
    gfx 「Lightning」という中身を何も説明していない名前の機能がこんな重大な事故を引き起こすのはどうなのと思わなくもないな…。

    2020/12/28 リンク

    その他
    Falky
    Falky 周りで詳しい人に聞いた限りでは、ゲストに変な権限渡す方がおかしいし、設定も丁寧に説明されていたので楽天の確認不足でしかないという見解が多かった。でも「よくある設定ミス」なら、設計の問題じゃないかなあ…

    2020/12/28 リンク

    その他
    akulog
    akulog Google WorkspaceのGroup事故思い出す

    2020/12/28 リンク

    その他
    diveintounlimit
    diveintounlimit “ゲストユーザーのLightning機能のアクセスが既定で可能”やっぱSalesforce側の設定がダメじゃない?何で設定規定でONにしたの?「地雷用意しといたぞ。絶対に踏むなよ」って告知したからOKって話にはならないのでは?

    2020/12/28 リンク

    その他
    tukanana
    tukanana 結局、PayPayはセキュリティ業界的に姿勢がevil。(ちゃんと公開しておけばもうちょっと早く対処が(ry))

    2020/12/28 リンク

    その他
    B-108
    B-108 巨大システムの設定だの権限だのは人間の理解の限界を超えてて、どの設定が何に依存してるとか含めて100%理解してる人なんかいない。事故が起きて初めて設定の脆弱性が見つかるトライ&エラー、地雷原の世界。

    2020/12/28 リンク

    その他
    ohaan
    ohaan 設定不備を、あたかも導入しているシステム自体に問題があるような扱いをするのはやめてほしいね。

    2020/12/28 リンク

    その他
    nowandzen
    nowandzen 「二子玉川のあのIT企業でsalesforceのスキルをいかせるお仕事!」的な求人を年中見かけるので納得感がある

    2020/12/28 リンク

    その他
    w1234567
    w1234567 CRMでゲストユーザーのAPIアクセスをデフォルトで許可する意味がまったく分からん、製品不具合で賠償が普通だろうけど元オラクルの幹部が創業した会社だし絶対認めないんだろうな

    2020/12/28 リンク

    その他
    fortrand
    fortrand 新機能の実装直後はアクセス権機能が十分でなかったこと、後から機能追加されたけど周知徹底してなかった、からのリスク顕在化という流れだろうか。ベストプラクティスの解説見たけど、機能のややこしさにも問題が

    2021/02/14 リンク

    その他
    at_yasu
    at_yasu 「「ゲストユーザのLightning機能」の無効化」

    2021/01/25 リンク

    その他
    verda
    verda LightningはIE11とEdgeレベルの別物で なかなか移行できてない会社が多いイメージ

    2020/12/28 リンク

    その他
    sawarabi0130
    sawarabi0130 楽天の情報にアクセスできるグローバルなオポチュニティを与えてたわけか

    2020/12/28 リンク

    その他
    evolist
    evolist こういうのって教祖様に漏洩するように仕向けろとお告げを受け、神の意志にもとづいて実行した可能性はないのかね? ありうると思うがね

    2020/12/28 リンク

    その他
    kijtra
    kijtra むかしGoogleのフォーラム機能 (メーリングリストが自動で掲示板になるやつ。デフォルトがパブリックだった)で機密情報が公開されまくってた時あったね

    2020/12/28 リンク

    その他
    akatuki_sato
    akatuki_sato 全グループでSF担当者が2名という都市伝説を聞いたことがある

    2020/12/28 リンク

    その他
    evergreeen
    evergreeen 楽天ぐらいの規模でのお客様となると、ベンダーから何人か社内に常駐させて支援してると思うけどセールスフォースは違うの?少なくAdobeとかは数人派遣してたと思うけど。

    2020/12/28 リンク

    その他
    monbobori
    monbobori タスカル。4月に来てるメール見るとゲストユーザーのセキュリティポリシーを使用して、自動有効化からオプトアウトできます、とあった。うちはこのプロファイル不使用なんだけど、オプトインにしといてよ!!

    2020/12/28 リンク

    その他
    w1234567
    w1234567 CRMでゲストユーザーのAPIアクセスをデフォルトで許可する意味がまったく分からん、製品不具合で賠償が普通だろうけど元オラクルの幹部が創業した会社だし絶対認めないんだろうな

    2020/12/28 リンク

    その他
    kazkun
    kazkun どうもデフォルトがゲストアクセス可能だったみたいだけど、それって怖すぎる。

    2020/12/28 リンク

    その他
    viperbjpn
    viperbjpn SFDC入れてる人らは年末ない可能性

    2020/12/28 リンク

    その他
    paradisemaker
    paradisemaker まぁ普通にあり得ない仕様変更ですね

    2020/12/28 リンク

    その他
    door-s-dev
    door-s-dev PayPayのもこれが原因だったのか

    2020/12/28 リンク

    その他
    nowandzen
    nowandzen 「二子玉川のあのIT企業でsalesforceのスキルをいかせるお仕事!」的な求人を年中見かけるので納得感がある

    2020/12/28 リンク

    その他
    B-108
    B-108 巨大システムの設定だの権限だのは人間の理解の限界を超えてて、どの設定が何に依存してるとか含めて100%理解してる人なんかいない。事故が起きて初めて設定の脆弱性が見つかるトライ&エラー、地雷原の世界。

    2020/12/28 リンク

    その他
    diveintounlimit
    diveintounlimit “ゲストユーザーのLightning機能のアクセスが既定で可能”やっぱSalesforce側の設定がダメじゃない?何で設定規定でONにしたの?「地雷用意しといたぞ。絶対に踏むなよ」って告知したからOKって話にはならないのでは?

    2020/12/28 リンク

    その他
    inmysoul
    inmysoul 管理してた運用担当がゴミなだけ。使ってるサービスの仕様変更把握してないとか、給料泥棒そのもの。

    2020/12/28 リンク

    その他
    ohaan
    ohaan 設定不備を、あたかも導入しているシステム自体に問題があるような扱いをするのはやめてほしいね。

    2020/12/28 リンク

    その他
    rzi
    rzi 『「ゲストユーザのLightning機能」を無効に変更していないこと』なんでデフォルトが有効なのの??? これ、まだまだ影響広がりそうな。Salesforceさんやばいよ実害でたら訴訟祭りになりそう…

    2020/12/28 リンク

    その他
    lifefucker
    lifefucker 楽天はわかるけどPayPayが導入したの最近でしょ?

    2020/12/28 リンク

    その他
    smken
    smken Lightning云々でなくデフォOffの「ゲストユーザー権限でObjectの参照が可能」をonに変えてたのがどうかしてる。Objectはセールスフォース用語でテーブルやぞ。UI用意しないからとanonymousにread権与えてAPIで持ってかれるって何?

    2020/12/28 リンク

    その他
    gachapining
    gachapining Lightning は SPA で書かれたダッシュボード機能のことかな。

    2020/12/28 リンク

    その他
    Falky
    Falky 周りで詳しい人に聞いた限りでは、ゲストに変な権限渡す方がおかしいし、設定も丁寧に説明されていたので楽天の確認不足でしかないという見解が多かった。でも「よくある設定ミス」なら、設計の問題じゃないかなあ…

    2020/12/28 リンク

    その他
    gfx
    gfx 「Lightning」という中身を何も説明していない名前の機能がこんな重大な事故を引き起こすのはどうなのと思わなくもないな…。

    2020/12/28 リンク

    その他
    ya--mada
    ya--mada ピヨログ

    2020/12/28 リンク

    その他
    akulog
    akulog Google WorkspaceのGroup事故思い出す

    2020/12/28 リンク

    その他
    masatomo-m
    masatomo-m おお、事実関係の整理&まとめありがたい

    2020/12/28 リンク

    その他
    tukanana
    tukanana 結局、PayPayはセキュリティ業界的に姿勢がevil。(ちゃんと公開しておけばもうちょっと早く対処が(ry))

    2020/12/28 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    Salesforceの設定不備に起因した外部からのアクセス事案についてまとめてみた - piyolog

    2020年12月25日、セールスフォースドットコムは一部製品、または機能を利用するユーザーにおいて、Sales...

    ブックマークしたユーザー

    • techtech05212024/04/11 techtech0521
    • mebius_ring2023/01/14 mebius_ring
    • kumazo10062021/11/25 kumazo1006
    • hifi00002021/11/23 hifi0000
    • atwata2021/11/05 atwata
    • FKU2021/02/27 FKU
    • fortrand2021/02/14 fortrand
    • kkeisuke2021/02/02 kkeisuke
    • masatsune2021/01/27 masatsune
    • at_yasu2021/01/25 at_yasu
    • thotentry_hatebu1972021/01/18 thotentry_hatebu197
    • T-miura2021/01/17 T-miura
    • hdkINO332021/01/14 hdkINO33
    • rryu2021/01/11 rryu
    • mjtai2021/01/05 mjtai
    • tasshi8202021/01/04 tasshi820
    • pmakino2021/01/03 pmakino
    • toshiharu_z2021/01/02 toshiharu_z
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.