Blog La Sicurezza dei dati

Anatomia di una data breach di Salesforce: fermare l'impersonificazione dell'utente

Come un attore malintenzionato impersona sistematicamente gli utenti per esfiltrare milioni di record di Salesforce.
 

Nota: questo blog è stato tradotto con l'aiuto dell'AI e corretto da un traduttore umano.

Nolan Necoechea
3 minuto di lettura
Ultimo aggiornamento 1 settembre 2025
Salesforce breach story

Contents

    Un malintenzionato che impersona un utente è incredibilmente difficile da individuare in Salesforce. Una volta che un malintenzionato ottiene credenziali legittime, può impersonare amministratori, accedere ai dati sensibili ed esfiltrarli, spesso senza generare allarmi. 

    Passando da un'identità all'altra, gli aggressori possono confondersi nel rumore delle grandi organizzazioni. Con gerarchie complesse di profili, set di autorizzazioni, ruoli e autorizzazioni di sistema, questi attacchi sono difficili da individuare e prevenire in Salesforce. 

    In questo articolo, analizzeremo un attacco di impersonificazione nel mondo reale che ha portato all'esfiltrazione di milioni di record e come si possono prevenire gli attacchi di impersonificazione degli utenti. 

    Anatomia della violazione 

    Una grande organizzazione multinazionale ci ha contattato dopo aver scoperto che dal loro CRM Salesforce erano stati esfiltrati milioni di record. Dopo un'indagine approfondita, abbiamo determinato come il criminale informatico sia riuscito a passare inosservato. 

    Ecco come si è svolta la violazione: 

    • Un ex dipendente, che conosceva bene l'ambiente Salesforce dell'organizzazione, ha convinto l'help desk a reimpostare la password. 
    • Una volta reimpostata la password, ha potuto sbloccare il suo account, riacquistando tutte le autorizzazioni precedenti. Successivamente, ha elevato la sua autorizzazione a super admin. 
    • Una volta ottenuti i privilegi di super amministratore, ha iniziato a impersonare sistematicamente gli utenti e a cercare dati sensibili. 
    • A prima vista, queste sessioni sembravano di routine. Senza un attento esame, le sessioni sembravano attività di supporto IT di routine, ma la frequenza e la tempistica hanno sollevato segnali di allarme durante la nostra valutazione del rischio. 
    • Infine, l'aggressore ha utilizzato un'applicazione di terze parti non protetta per esfiltrare milioni di record senza essere individuato. 

    Diagnosi del rischio dei dati Salesforce 

    Con più di un milione di utenti, questo ambiente era intrinsecamente difficile da gestire, ma alcuni rischi chiave evitabili hanno contribuito al data breach.  

    Ecco quello che abbiamo scoperto: 

    1. Account congelati con diritti di amministratore

    L'organizzazione aveva più di 600 account di super admin, molti dei quali erano bloccati. Tuttavia, questi account bloccati conservavano ancora tutte le autorizzazioni. In Salesforce, il blocco di un account non comporta la rimozione delle autorizzazioni. Se viene riattivato, l'account riacquista tutti gli accessi precedenti. 

    Ciò crea un rischio significativo. Gli attori di minacce come Scattered Spider utilizzano l'ingegneria sociale per convincere gli help desk a reimpostare password e MFA, riattivando gli account bloccati con privilegi intatti. 

    2. Assegnazioni di app obsolete

    L'organizzazione aveva dozzine di assegnazioni di app obsolete. Queste assegnazioni obsolete delle app spesso conservano i token e le autorizzazioni OAuth, creando una backdoor che consente agli aggressori o ai malintenzionati di accedere ed esfiltrare dati sensibili. 

    3. Dati di produzione in un ambiente sandbox

    Forse il problema più allarmante è che i dati di produzione di questa organizzazione venivano sincronizzati con un enorme ambiente sandbox. Le sandbox in genere non hanno i controlli rigorosi degli ambienti di produzione, creando un pericoloso mix di dati sensibili e controlli di accesso più deboli. 

    Automatically remediate user risk with Varonis for Salesforce.
    Learn more
    VaronisCloud@2x

    Come impedire l'impersonificazione degli utenti in Salesforce 

    Sebbene l'impersonificazione degli utenti sia difficile da individuare, questa violazione era evitabile. Ecco come colmare le lacune: 

    Rimuovere le autorizzazioni inutilizzate 

    Controllare ed eliminare le autorizzazioni che non sono più necessarie. Quando si blocca un account, rimuovere le autorizzazioni per ridurre la superficie di attacco e semplificare i controlli. Le revisioni periodiche aiutano a far rispettare il principio del privilegio minimo

    Revoca le assegnazioni di app obsolete 

    Verifica l'accesso alle app di terze parti e rimuovi le assegnazioni che non sono più pertinenti. Questo elimina l'exposure non necessaria e riduce il rischio di data exfiltration attraverso integrazioni dimenticate. 

    Separa i dati di produzione e sandbox 

    La prassi migliore è non sincronizzare i dati di produzione negli ambienti sandbox. Occorre mantenere gli ambienti isolati per prevenire l'exposure accidentale e mantenere controlli di accesso più rigorosi. 

    Che aiuto offre Varonis 

    La raccomandazione descritta sopra può risultare difficile da implementare, soprattutto in un'organizzazione di grandi dimensioni. Varonis fornisce la soluzione di sicurezza per Salesforce più completa disponibile per eliminare i rischi e rilevare le minacce con remediation automatiche e garantire la scalabilità della sicurezza e del rilevamento delle minacce.  

    Dimensionare le autorizzazioni in modo adeguato 

    Varonis mostra le autorizzazioni effettive di ogni utente e come le ha ottenute con la remediation automatica, come la rimozione delle autorizzazioni dagli account bloccati o obsoleti. 

    Gestire il rischio delle app di terze parti 

    Varonis scopre tutte le app di terze parti connesse, ne valuta il rischio e ne monitora l'attività. Può rimuovere automaticamente le connessioni alle app non autorizzate o non utilizzate. 

    Rilevare attività anomale 

    Varonis monitora in modo proattivo Salesforce e il patrimonio di dati più ampio per individuare comportamenti sospetti, tra cui l'escalation dei privilegi, l'accesso di massa agli oggetti e la data exfiltration. Varonis correla le identità tra le app per far emergere minacce come l'accesso di un utente tramite Okta, l'accesso a Salesforce e l'invio di dati via e-mail a un account personale. 

    Prova Varonis per Salesforce 

    Per proteggere i dati sensibili, deve sapere dove risiedono, chi può accedervi e cosa ne fa. Solo Varonis riunisce tutto questo in un'unica piattaforma. 

    Varonis protegge Salesforce e altre app SaaS, dati cloud e on-premises. 

    Vuoi scoprire quali sono i rischi presenti nel tuo ambiente Salesforce? Inizia oggi stesso un data risk assessment gratuito

    O que devo fazer agora?

    Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

    1

    Agende uma demonstração conosco Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

    2

    Veja um exemplo do nosso Relatório de Risco de Dados Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

    3

    Siga-nos no LinkedIn, YouTube et X (Twitter) Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

    Nolan Necoechea
    Nolan Necoechea Nolan Necoechea is a product marketing strategist at Varonis. He has spent more than a decade working with data and AI innovators.

    Prova Varonis gratis.

    Ottieni un report dettagliato sul rischio dei dati in base ai dati della tua azienda. Distribuzione in pochi minuti.
    Iniziare Visualizza campione

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    varonis-annuncia-una-partnership-strategica-con-microsoft-per-contribuire-a-proteggere-il-futuro-dell'ai
    Varonis annuncia una partnership strategica con Microsoft per contribuire a proteggere il futuro dell'AI
    varonis-annuncia-una-partnership-strategica-con-microsoft-per-contribuire-a-proteggere-il-futuro-dell'ai
    Yaki Faitelson
    18 agosto 2025
    Due grandi aziende uniscono le forze per offrire sicurezza, governance e conformità dei dati scalabili per l'era dell'AI
    rischi-nascosti-della-shadow-ai
    Rischi nascosti della shadow AI
    rischi-nascosti-della-shadow-ai
    Jonathan Villa
    11 luglio 2025
    La shadow AI è in aumento perché i dipendenti adottano strumenti di AI non autorizzati. Scopri i rischi che comporta per la sicurezza e la conformità e come gestirli in modo responsabile.
    presentazione-di-varonis-per-chatgpt-enterprise
    Presentazione di Varonis per ChatGPT Enterprise
    presentazione-di-varonis-per-chatgpt-enterprise
    Shawn Hays
    23 giugno 2025
    La piattaforma di sicurezza dei dati leader del settore di Varonis supporta ChatGPT Enterprise di OpenAI, proteggendo i dati dai rischi di uso improprio ed esposizione dell'AI.