세일즈포스가 제공하는 소프트웨어가 설정 오류로 인해 서버에서 고객 주소나 이름 등 개인 정보가 유출됐을 가능성이 지적됐다.
이번에 정보 유출이 지적되는 건 세일즈포스가 제공하는 클라우드 기반 소프트웨어 제품인 세일즈포스 커뮤니티다. 세일즈포스 커뮤니티를 이용하면 커뮤니티 관리자가 게스트 액세스 기능을 이용해 인증되지 않은 사용자에게도 공개 정보를 볼 수 있다.
하지만 세일즈포스 커뮤니티에선 커뮤니티 관리자가 실수로 게스트 사용자에게 내부 리소스에 대한 액세스 권한을 부여할 수 있어 권한이 없는 사용자가 조직 기밀 정보나 개인 정보에 액세스해 데이터 유출이 발생할 가능성이 지적됐다.
보안 연구자는 미국 버몬트주가 운영하는 적어도 5개 사이트에선 세일즈포스 커뮤니티를 이용하고 있으며 누구나 기밀 데이터에 액세스할 수 있다고 보고했다. 버몬트주 코로나19 유행에 따른 실업 지원 프로그램에서도 기밀 데이터에 대한 액세스가 허가되고 있으며 신청자명과 사회보장번호, 주소, 전화번호, 이메일 주소, 은행 계좌 번호 등이 빠져 있다고 밝히고 있다.
도 오하이오주에 본사를 둔 은행 지주 회사인 헌팅턴뱅크쉐어스는 세일즈포스 커뮤니티를 도입해 상업 대출을 처리하는 TCF파이낸셜을 인수했지만 TCF파이낸셜 세일즈포스 커뮤니티에선 고객명과 사회보장번호, 주소, 직위, 연방 아이디, IP 주소, 월 평균 급여, 대출 금액을 누구나 볼 수 있는 상태였다.
연구자는 버몬트주와 헌팅턴뱅크쉐어스에게 의견을 요청한 결과 양측은 정보 유출 사실을 알게 됐고 곧바로 기밀 정보에 대한 공개 접근을 막았다.
세일즈포스는 자사는 이미 인증되지 않은 게스트 사용자에게 액세스할 수 있는 데이터를 지정할 수 있는 세일즈포스 커뮤니티 설정에 대한 명확하고 강력한 도구 안내를 고객에게 제공한다고 박혔다. 한편 버몬트주 최고 정보 보안 책임자는 세일즈포스 커뮤니티의 느슨한 태세에 위기감을 느끼고 있다고 밝혔고 헌팅턴뱅크쉐어스 측 역시 세일즈포스 커뮤니티 설정 실수 경위와 기간, 유출 규모에 대해 조사 중이라고 말했다.
세일즈포스 커뮤니티 설정 실수로 인한 정보 유출이 발생한 수백 개 조직을 확인한 보안 연구자는 2023년 1월부터 2월까지 정부기관과 일부 기업에 대한 설정 실수로 인한 정보 유출이 발생했을 가능성을 전달했지만 이들 조직에선 아무런 반응이 없었다며 이런 기업과 정부기관 중 실제로 문제를 해결한 기업은 단 5개 기업 뿐이었다고 밝혔다.
세일즈포스는 자사는 고객과 긍정적 커뮤니케이션을 수행하고 고객이 사용할 수 있는 기능과 보안, 계약과 법규 의무를 수행할 수 있는 세일즈포스 인스턴스를 최적으로 보호할 방법 주지에 노력하고 있다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.