Usted está aquí:
Acceso de usuario invitado: Preferencias de sitio para usuario invitado
Esta configuración de seguridad evita que los visitantes no autenticados accedan a la lista completa de usuarios, miembros y colaboradores registrados en un sitio de Experience Cloud.
Nombre de control
Acceso de usuario invitado: Preferencias de sitio para usuario invitado
Configuración recomendada
Establezca Experiencia digital>Todos los sitios>Espacio de trabajo>Administración|Preferencias>Permitir a los usuarios invitados ver otros miembros de este sitio como no seleccionado/desactivado.
Descripción general de control
Esta configuración de seguridad evita que los visitantes no autenticados accedan a la lista completa de usuarios, miembros y colaboradores registrados en un sitio de Experience Cloud.
Riesgo de seguridad si no está configurado
Cuando esta preferencia está activa, los usuarios anónimos pueden enumerar sistemáticamente los nombres, títulos y detalles de perfil de todos los miembros de la comunidad, lo que lleva a la revelación no autorizada de su directorio de clientes o socios.
Escenarios de amenazas
Un actor malintencionado utiliza una secuencia de comandos automatizada para eliminar del sitio nombres de usuario válidos y detalles de identidad, que luego se utilizan para iniciar ataques de phishing dirigidos o campañas de relleno de credenciales contra sus usuarios.
Intervalo de puntuaje de CVSS estimado
Alto (7,0 a 8,9).
Consideraciones de impacto de riesgo
La exposición del directorio de miembros da como resultado una violación significativa de la privacidad del usuario y puede llevar a la recopilación de inteligencia competitiva o el compromiso de cuentas de alto valor a través de ingeniería social.
Mayor riesgo cuando
El riesgo es mayor para sitios de redes profesionales o de socios donde los perfiles de miembros contienen detalles profesionales confidenciales, información de contacto o afiliaciones propias.
Bajo riesgo cuando
Si los perfiles del sitio ya están restringidos para mostrar únicamente información genérica y no incluyen nombres reales o direcciones de email.
Consideraciones de negocio e integración
La desactivación de esta función puede afectar a la experiencia de usuario para sitios creados para la colaboración pública, ya que evita que los visitantes anónimos vean quién más está participando en la comunidad antes de iniciar sesión.
Remediación recomendada
Vaya a la sección Administración del espacio de trabajo del sitio, seleccione Preferencias y asegúrese de que la casilla de verificación para permitir a los usuarios invitados ver otros miembros no está seleccionada.
Directrices de revisión del estado de seguridad
Security Health Review identifica el enmascaramiento del directorio de miembros como un control de privacidad obligatorio, asegurándose de que los datos de identidad de usuario solo son visibles para participantes autenticados con una necesidad de negocio legítima.
