Sabe aquela cena clássica de filme de espionagem em que o “gênio do teclado” invade um sistema ultra secreto, quebra senhas em segundos e sai andando como se nada tivesse acontecido? Agora troca isso por uma realidade bem mais… humana.
Imagine um ladrão que não usa computador quântico nem zero-day: ele simplesmente paga o segurança do banco para tirar uma foto do dinheiro dentro do cofre e, depois, espalha por aí que “roubou o banco”. Foi mais ou menos esse o enredo envolvendo a CrowdStrike nos últimos dias.
Um grupo criminoso tentou vender ao mundo a narrativa de uma invasão sofisticada. Só que, segundo a própria empresa, a história real foi outra: um insider threat (ameaça interna) compartilhou imagens da tela do computador com criminosos, e isso foi usado para criar barulho e credibilidade no submundo.
A falsa invasão: narrativa vs. realidade
O grupo Scattered Lapsus$ Hunters publicou no Telegram capturas de tela que pareciam “prova” de acesso a sistemas internos. Havia imagens de dashboards e até um link para um painel de login do Okta, usado para SSO (Single Sign-On). O tipo de coisa que, fora de contexto, assusta mesmo.
A narrativa que eles empurraram foi estrategicamente “arrumadinha”: alegaram que teriam entrado na CrowdStrike explorando Gainsight, um fornecedor terceirizado comumente ligado a rotinas de gestão de clientes. Por que essa história colaria? Porque, pouco antes, os mesmos atores afirmaram ter atacado clientes da Salesforce via integrações do Gainsight, e a Salesforce chegou a desconectar aplicativos publicados pelo Gainsight da sua plataforma. Na cabeça de quem lê rápido, o roteiro parece consistente.
E por que tanta gente acreditou de primeira? Porque os prints tinham cara de ‘prova’. Não era só um texto dizendo ‘eu entrei’. Eram imagens de dashboards internos e até um caminho apontando para um painel de login do Okta (via SSO). Para quem bate o olho, isso passa a sensação de acesso total, como se a empresa estivesse aberta por dentro.
Aqui vale um cuidado importante: a própria CrowdStrike não detalhou publicamente qual era o vínculo desse insider threat (se era empregado, contratado ou parceiro). Por isso, faz sentido tratar como “colaborador” e focar no que realmente importa, o ponto de ruptura foi alguém com acesso legítimo que decidiu agir fora das regras.
Outro detalhe que dá peso ao caso, sem precisar de nenhuma invasão técnica, é a menção a cookies de autenticação. Em termos simples, cookie pode funcionar como uma ‘chave temporária’ de sessão já validada. É como se, em vez de descobrir a senha, alguém entregasse um crachá já carimbado na portaria. Não prova que houve exploração de falha, mas explica por que esse tipo de vazamento vira munição perfeita para fabricar uma história convincente.
Só que a própria CrowdStrike negou que tivesse sido comprometida tecnicamente. Em vez disso, explicou que identificou e demitiu um colaborador após uma investigação interna, porque ele teria compartilhado imagens da tela do computador para fora da empresa. E aqui está o detalhe que desmonta o teatro: se alguém com acesso legítimo tira “prints” e entrega para criminosos, dá para fingir muita coisa, inclusive uma invasão que nunca aconteceu.
O preço da traição: US$ 25.000 por screenshots
Segundo o que o grupo criminoso teria alegado publicamente, houve pagamento de US$ 25.000 para receber essas imagens e outros itens valiosos, como cookies de autenticação. Em outras palavras: em vez de “arrombar a porta”, eles tentaram comprar a chave, ou pelo menos uma foto dela pendurada na parede.
E é exatamente aí que o caso vira um soco no estômago de qualquer equipe de segurança. Porque não importa o quão forte seja seu EDR, seu SIEM, sua pilha de detecções e suas políticas no papel: se alguém do lado de dentro decide burlar regras e vazar evidências visuais, você ganha uma crise de reputação mesmo sem ter sofrido um ataque técnico de verdade.
A empresa também afirmou que seus sistemas não foram comprometidos e que clientes permaneceram protegidos durante todo o período, além de ter encaminhado o caso às autoridades. Repare como isso muda o eixo da história: não é sobre um exploit brilhante, é sobre confiança, controles internos e comportamento.
Insider threat: quando o elo fraco não é o software, é a pessoa
Todo mundo gosta de culpar “a falha do sistema”, mas o problema mais difícil de corrigir costuma ser o mais simples de descrever: é a pessoa sentada na frente da tela.
Ameaças internas existem em várias formas, e nem sempre são “espiões” no estilo Hollywood. Às vezes são decisões ruins, pressões financeiras, ressentimento, excesso de permissões, falta de monitoramento, ou aquela confiança automática em quem “sempre esteve por aqui”. E isso é perigoso porque o insider threat começa com acesso legítimo, o que torna a detecção mais delicada.
Esse caso também conversa com engenharia social no sentido mais amplo: os criminosos não estavam apenas “coletando dados”, estavam fabricando uma narrativa para convencer outras pessoas. Se você consegue criar a impressão pública de que entrou na CrowdStrike, você ganha status no submundo, assusta concorrentes, atrai imitadores, seduz compradores e, de quebra, joga fumaça no mercado.
A tática de FUD: o objetivo era parecer poderoso
Aqui entra um ponto que muita gente subestima: nem todo ataque visa roubo em massa. Às vezes, o produto é o medo.
Ao publicar telas convincentes e sugerir um vetor “da moda” (terceiros, integrações, Gainsight, Salesforce), o grupo alimenta FUD (Medo, Incerteza e Dúvida). É uma forma de marketing criminoso: “olha como somos capazes”, mesmo que a realidade seja uma operação baseada em suborno e vazamento interno.
E tem mais: isso também bagunça o debate público. A audiência leiga vai repetir “a CrowdStrike foi hackeada”. O público técnico vai entrar em guerra de versões. A empresa precisa gastar energia desmentindo. No fim, o ataque cumpre seu papel: gerar ruído e desgaste, mesmo sem uma invasão técnica confirmada.
O que esse caso ensina (e por que ele é tão desconfortável)
Se existe uma lição brutal aqui, é esta: segurança não é só patch, firewall e MFA. Segurança é gente, processo e cultura, com um componente inevitável de risco humano.
Você pode ter Okta bem configurado, camadas de proteção, auditoria, tudo. Ainda assim, alguém pode tirar uma foto de uma tela e causar uma tempestade. E isso obriga empresas, inclusive as de cibersegurança, a reforçar pilares como:
- menos permissões e mais segmentação (ninguém precisa ver tudo);
- monitoramento de comportamento e sinais de risco;
- resposta rápida a incidentes internos;
- treinamento que não seja só “slide”, mas que trate de ética, golpes e consequências;
- controles para impedir exfiltração simples (sim, até “foto de tela” pode virar vetor de crise).
Porque, no fim, a pergunta que fica é desconfortável: se um print bem colocado pode simular uma invasão, quantas outras “provas” na internet são só teatro bem pago?
