Hoe weet ik of mijn organisatie slachtoffer is (geweest) van een hack?

Dit is de meest directe manier om de specifieke kwetsbaarheid te onderzoeken. De dader laat hier de duidelijkste sporen achter.

• Ga naar: Setup > Connected Apps OAuth Usage.
• Waar je op moet letten:
  • Onbekende of verdachte apps: Zoek naar apps die je niet herkent, vooral apps met generieke namen zoals “Salesforce API Access”, “Data Loader V3” of andere tools die niet officieel door jullie zijn geïmplementeerd. Een kwaadaardige app zal zich vaak voordoen als een legitieme tool.
  • Onverwachte “User Count”: Klik op het aantal gebruikers (User Count) bij elke verdachte app. Zie je dat een gebruiker die normaal gesproken geen data exporteert (bijv. een marketingmedewerker) ineens een onbekende ‘data tool’ heeft geautoriseerd? Dat is een rode vlag.
  • Controleer de autorisatiedatum: Wanneer heeft de gebruiker de app voor het eerst toegang gegeven? 
  • Blokkeer direct: Elke app die je niet 100% vertrouwt, kun je via deze pagina onmiddellijk blokkeren (Block) om verdere toegang te voorkomen.

Als een hacker via een app toegang heeft, wordt dit vaak gelogd als een normale login.

• Ga naar: Setup > Login History.
• Waar je op moet letten:
  • Locatie en IP-adres: Zie je logins van gebruikers vanuit ongebruikelijke landen of IP-adressen?
  • Applicatie: De kolom Application toont via welke app is ingelogd. Als hier een van de verdachte apps uit stap 1 staat, is dat een sterke indicator van misbruik.
  • Tijdstip: Logins midden in de nacht of in het weekend door gebruikers die normaal gesproken alleen tijdens kantooruren werken.

Dit is een geavanceerdere stap en vereist vaak extra tools, maar het kan de impact van een aanval blootleggen.

• Tool: Als je organisatie Salesforce Shield heeft, gebruik dan Event Monitoring.
• Waar je op moet letten:
  • ‘Report Export’ Events: Zoek naar een piek in het aantal geëxporteerde rapporten. Een hacker zal vaak proberen om in korte tijd veel data te downloaden via rapporten.
  • ‘API Events’: Een ongewoon hoog aantal API-verzoeken van één specifieke gebruiker of app. Dit duidt op het systematisch uitlezen van data.
  • Zonder Shield: Controleer handmatig de Last Run Date van belangrijke rapporten met gevoelige klantdata. Is een rapport recentelijk gedraaid door een onverwachte gebruiker?

Het doel van dit stappenplan is om je overzicht en vooral zekerheid te geven. Zoals je ziet, begint een effectieve controle altijd bij de Connected Apps OAuth Usage-pagina. Vanuit daar gebruik je de inloggeschiedenis en andere tools om een compleet beeld te krijgen.

Of je nu de bevestiging hebt dat alles op orde is, of iets onverwachts bent tegengekomen, de belangrijkste aanbeveling is om van deze controle een routine te maken, bijvoorbeeld halfjaarlijks. Zo wordt veiligheid een vast onderdeel van je beheer, in plaats van een reactie op een incident.

Zit je na deze controle toch nog met vragen, of heb je iets gezien waar je over twijfelt? Schroom dan niet om contact op te nemen. We kijken graag vrijblijvend met je mee en helpen je verder.

Je kunt ons bereiken via support of bellen op +31 85 130 49 35.