新发现：Salesforce“幽灵网站”带来的安全隐患

关键要点

• 精心配置的 Salesforce 社区即使不再使用，仍会泄露敏感数据。
• 攻击者可以通过更改主机头访问这些未停用的网站。
• “幽灵网站”不仅囊括了旧数据，还可能包含最新的机密记录。
• 解决方案是及时停用不再使用的 Salesforce 社区。

根据 Varonis Threat Labs 的研究，攻击者可以通过更改主机头来访问不当停用或未维护的 Salesforce网站，从而获取敏感的个人和商业数据。

在一篇 中，研究员 NitayBachrach 指出，这种所谓的“幽灵网站”是指那些不再使用的 Salesforce 社区。这些被遗弃的网站最初是为了让合作伙伴和客户能够在 。研究者表示，幽灵网站只是被遗忘或未使用的共享站点，而非被停用，反而形成了一种潜在的安全隐患。

尽管这些 Salesforce 网站已被遗弃，但它们依然会获取新数据，且可以在公共互联网上轻易找到，进而被攻击者利用。

Bachrach 写道：“由于这些未使用的网站未经过维护，它们未能检测漏洞，管理员也未能根据更新的指导方针去更新网站的安全措施。”

幽灵网站的产生通常是因为定制域名指向 Salesforce 社区网站，并通过配置 DNS 记录实现。当公司转移到其他供应商时风险就会出现，Bachrach解释道。Varonis Threat Labs 的研究员发现，很多公司仅仅更改了 DNS 记录，没有移除自定义域名或停用 Salesforce 网站。

由于 Salesforce 网站仍然处于活动状态，攻击者只需更改主机头即可访问它们。Bachrach 提到，一些工具如 SecurityTrails可用来索引和存档 DNS 记录，使得攻击者更容易识别幽灵网站。

“我们的研究发现了许多包含机密数据的网站，包括个人身份信息（PII）和敏感商业数据，这些数据在其他情况下是无法访问的，”他写道。“暴露的数据并不仅限于网站使用时的旧数据；它还包括由于 Salesforce 环境中共享配置而与访客用户共享的新记录。”

为了解决这个问题，Varonis 的研究人员建议应及时停用不再使用的 Salesforce 社区。