Salesforceは、REST API関連の不具合によるデータ漏えいの可能性について顧客に警告した。
Salesforceは先週に発行したセキュリティアドバイザリで、「Salesforce Marketing Cloud」の顧客のうち、「Marketing Cloud Email Studio」や「Predictive Intelligence」を利用している「一部の顧客」に影響する問題を7月18日に認識したと述べている。
同社によると、7月4日から7月7日にかけてリリースしたMarketing Cloudのアップデートにおいて、「ごく一部のREST API呼び出しによって、ある顧客のアカウントから別の顧客のアカウントに対する、不適切なデータの取得や書き込みを引き起こす可能性のある」コード修正が実施されてしまったという。
この問題は18日のうちに緊急リリース(eRelease)によって解決されたものの、顧客の情報が喪失した可能性は残っている。
Bank Info Securityの報道によると、顧客に電子メールで通知されたアラートには、顧客のアカウント間でデータの取得や書き込みを行った際、同APIの呼び出しによって「データの書き込みや修正が行われず、処理に失敗し、エラーメッセージが生成される」可能性があったとも記されているという。
Bank Info Securityは、この問題が原因でMarketing Cloudのデータが破損した可能性も報じている。
この記事では、Salesforceは今回の脆弱性が悪用されたという報告を受け取っていないものの、この問題を抱えたAPIが利用可能になっていた時に、第三者による顧客データへのアクセスや顧客データの改変があったかどうかは確認できていないと伝えている。そのため、同社は影響を受けた可能性のある全ての顧客に連絡しているという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。