Google confirma que ataque via Salesloft Drift também atingiu contas do Workspace

Escrito por
Emanuel Negromonte
Emanuel Negromonte é Jornalista, Mestre em Tecnologia da Informação e atualmente cursa a segunda graduação em Engenharia de Software. Com 14 anos de experiência escrevendo sobre...

Falha no Salesloft Drift expôs dados do Salesforce e do Google Workspace!

O que parecia ser um incidente restrito a clientes do Salesforce se transformou em uma campanha muito mais ampla de roubo de dados corporativos. O Google Threat Intelligence Group (GTIG) confirmou que a mesma falha que permitiu invasões massivas a instâncias do Salesforce também foi usada para comprometer contas do Google Workspace. O elo comum em todos os casos é a plataforma de automação Salesloft Drift, cuja integração com diferentes serviços foi explorada por criminosos.

O episódio está sendo tratado como um dos ataques mais sérios do ano, pois demonstra como um único elo fraco em uma cadeia de integrações pode ser usado para infiltrar-se em múltiplas plataformas críticas.

Como tudo começou: a descoberta do ataque

A história remonta ao início de agosto de 2025. Entre os dias 8 e 18 de agosto, um grupo de atacantes, identificado pelo Google como UNC6395, começou a usar tokens OAuth comprometidos do Drift para acessar dados de clientes do Salesforce.

Esses tokens funcionam como chaves digitais: não exigem senha e permitem que aplicativos de terceiros troquem informações livremente. Quando caem em mãos erradas, podem abrir portas invisíveis para ambientes inteiros. Foi o que aconteceu.

O GTIG revelou que os invasores exportaram sistematicamente grandes volumes de dados, usando queries para coletar informações de objetos centrais do Salesforce — como Accounts, Users e Cases. A ação não se limitou a roubar relatórios genéricos: os criminosos procuraram credenciais reutilizáveis, como chaves da AWS, tokens do Snowflake e até senhas explícitas armazenadas em campos de texto.

Mais alarmante ainda: após extrair os dados, os atacantes apagavam rastros de consultas para dificultar a detecção, mas sem alterar logs centrais — o que indica um nível elevado de disciplina operacional.

A evolução: de Salesforce para Google Workspace

Em 26 de agosto, o Google confirmou a primeira fase da campanha, destacando o impacto no Salesforce. Dois dias depois, veio a notícia que ampliou o alcance do incidente: em 9 de agosto, os mesmos tokens comprometidos foram usados para acessar contas específicas do Google Workspace que tinham o Drift configurado.

Segundo o GTIG, os criminosos exploraram a integração chamada “Drift Email”, que permitia acesso direto a mensagens de usuários. Apesar de o número de contas afetadas ser “muito pequeno”, o impacto é significativo: não houve falha no Google Workspace em si, mas os invasores conseguiram atravessar a ponte aberta pela integração com o Drift.

Em resposta imediata, o Google:

  • Revogou todos os tokens OAuth associados ao Drift.
  • Desativou a integração com o Workspace até segunda ordem.
  • Notificou administradores afetados com instruções para investigação e mitigação.

O recado da empresa foi direto: a ameaça não se limita ao Salesforce, mas a qualquer ambiente conectado ao Drift.

Como os atacantes operaram: caçando segredos corporativos

O grupo UNC6395 mostrou que não buscava apenas dados comerciais comuns. Seu objetivo parecia ser a coleta de credenciais reutilizáveis que pudessem dar acesso a outros sistemas internos das vítimas.

Entre os dados exfiltrados estavam:

  • Chaves de acesso da AWS (AKIA), capazes de abrir infraestrutura em nuvem.
  • Tokens do Snowflake, que poderiam expor bancos de dados inteiros.
  • Senhas e segredos armazenados em campos de texto, frequentemente usados por equipes para agilizar tarefas.
  • URLs de login corporativos, como VPNs e Single Sign-On (SSO).

Esse comportamento mostra uma estratégia de ataque em cadeia: usar uma brecha inicial para coletar insumos que permitam escalar privilégios e comprometer ambientes maiores.

Além disso, os atacantes usaram nós de saída da rede Tor para mascarar a origem do tráfego e aplicaram técnicas de limpeza de queries, tentando minimizar os sinais de intrusão.

Respostas oficiais: Salesforce, Salesloft e Google agem em conjunto

As empresas envolvidas se mobilizaram rapidamente após a detecção.

  • Salesforce: removeu o Drift da AppExchange e informou clientes que não houve falha em sua própria plataforma, mas apenas na integração.
  • Salesloft (Drift): revogou tokens ativos, pediu que clientes reautenticarem manualmente suas conexões e contratou a Mandiant e a seguradora Coalition para investigar. A empresa também compartilhou indicadores de comprometimento (IOCs) para apoiar caçadas internas.
  • Google: agiu em duas frentes, desativando integrações do Drift no Workspace e emitindo recomendações públicas para todas as organizações que ainda usam a plataforma.

O tom unificado das comunicações é claro: não importa se sua empresa percebeu sinais de ataque ou não, você deve agir como se seus tokens estivessem comprometidos.

O que as empresas devem fazer agora

O consenso entre especialistas e fornecedores é de que este é um caso de comprometimento em larga escala que exige ação imediata.

As recomendações prioritárias são:

  • Revisar integrações do Drift: acessar o painel de administrador e verificar todos os serviços conectados.
  • Revogar e rotacionar credenciais: isso inclui tokens OAuth, chaves de API e senhas associadas.
  • Investigar logs: procurar sinais de exportações massivas, consultas anômalas ou acessos vindos de IPs suspeitos (muitos deles associados à rede Tor).
  • Caçar segredos expostos: usar ferramentas como o Trufflehog para identificar credenciais em bancos de dados ou arquivos exportados.
  • Aplicar restrições adicionais: limitar permissões de apps conectados, configurar ranges de IP autorizados e reduzir tempos de sessão para usuários privilegiados.
  • Resetar senhas: principalmente para contas ligadas ao Salesforce e ao Google Workspace com integração ativa ao Drift.

Essas medidas não são apenas boas práticas: são ações emergenciais para cortar qualquer possibilidade de acesso persistente pelos invasores.

O que este incidente nos ensina

Este ataque é um lembrete brutal do risco das integrações de terceiros. Muitas vezes, as empresas confiam tokens de acesso irrestritos a aplicativos externos sem monitorar ou limitar adequadamente suas permissões. Na prática, esses tokens funcionam como “credenciais invisíveis” que raramente expiram e podem ser exploradas silenciosamente por meses.

O caso do Salesloft Drift vulnerability mostra que, mesmo quando plataformas gigantes como Google e Salesforce são seguras, o elo mais fraco pode estar em um conector aparentemente inofensivo.

E a lição é clara: revisar, limitar e auditar todas as integrações não é mais opcional — é vital para a sobrevivência digital das empresas.

Compartilhe este artigo