O que parecia ser um incidente restrito a clientes do Salesforce se transformou em uma campanha muito mais ampla de roubo de dados corporativos. O Google Threat Intelligence Group (GTIG) confirmou que a mesma falha que permitiu invasões massivas a instâncias do Salesforce também foi usada para comprometer contas do Google Workspace. O elo comum em todos os casos é a plataforma de automação Salesloft Drift, cuja integração com diferentes serviços foi explorada por criminosos.
O episódio está sendo tratado como um dos ataques mais sérios do ano, pois demonstra como um único elo fraco em uma cadeia de integrações pode ser usado para infiltrar-se em múltiplas plataformas críticas.
Como tudo começou: a descoberta do ataque
A história remonta ao início de agosto de 2025. Entre os dias 8 e 18 de agosto, um grupo de atacantes, identificado pelo Google como UNC6395, começou a usar tokens OAuth comprometidos do Drift para acessar dados de clientes do Salesforce.
Esses tokens funcionam como chaves digitais: não exigem senha e permitem que aplicativos de terceiros troquem informações livremente. Quando caem em mãos erradas, podem abrir portas invisíveis para ambientes inteiros. Foi o que aconteceu.
O GTIG revelou que os invasores exportaram sistematicamente grandes volumes de dados, usando queries para coletar informações de objetos centrais do Salesforce — como Accounts, Users e Cases. A ação não se limitou a roubar relatórios genéricos: os criminosos procuraram credenciais reutilizáveis, como chaves da AWS, tokens do Snowflake e até senhas explícitas armazenadas em campos de texto.
Mais alarmante ainda: após extrair os dados, os atacantes apagavam rastros de consultas para dificultar a detecção, mas sem alterar logs centrais — o que indica um nível elevado de disciplina operacional.
A evolução: de Salesforce para Google Workspace
Em 26 de agosto, o Google confirmou a primeira fase da campanha, destacando o impacto no Salesforce. Dois dias depois, veio a notícia que ampliou o alcance do incidente: em 9 de agosto, os mesmos tokens comprometidos foram usados para acessar contas específicas do Google Workspace que tinham o Drift configurado.
Segundo o GTIG, os criminosos exploraram a integração chamada “Drift Email”, que permitia acesso direto a mensagens de usuários. Apesar de o número de contas afetadas ser “muito pequeno”, o impacto é significativo: não houve falha no Google Workspace em si, mas os invasores conseguiram atravessar a ponte aberta pela integração com o Drift.
Em resposta imediata, o Google:
- Revogou todos os tokens OAuth associados ao Drift.
- Desativou a integração com o Workspace até segunda ordem.
- Notificou administradores afetados com instruções para investigação e mitigação.
O recado da empresa foi direto: a ameaça não se limita ao Salesforce, mas a qualquer ambiente conectado ao Drift.
Como os atacantes operaram: caçando segredos corporativos

O grupo UNC6395 mostrou que não buscava apenas dados comerciais comuns. Seu objetivo parecia ser a coleta de credenciais reutilizáveis que pudessem dar acesso a outros sistemas internos das vítimas.
Entre os dados exfiltrados estavam:
- Chaves de acesso da AWS (AKIA), capazes de abrir infraestrutura em nuvem.
- Tokens do Snowflake, que poderiam expor bancos de dados inteiros.
- Senhas e segredos armazenados em campos de texto, frequentemente usados por equipes para agilizar tarefas.
- URLs de login corporativos, como VPNs e Single Sign-On (SSO).
Esse comportamento mostra uma estratégia de ataque em cadeia: usar uma brecha inicial para coletar insumos que permitam escalar privilégios e comprometer ambientes maiores.
Além disso, os atacantes usaram nós de saída da rede Tor para mascarar a origem do tráfego e aplicaram técnicas de limpeza de queries, tentando minimizar os sinais de intrusão.
Respostas oficiais: Salesforce, Salesloft e Google agem em conjunto

As empresas envolvidas se mobilizaram rapidamente após a detecção.
- Salesforce: removeu o Drift da AppExchange e informou clientes que não houve falha em sua própria plataforma, mas apenas na integração.
- Salesloft (Drift): revogou tokens ativos, pediu que clientes reautenticarem manualmente suas conexões e contratou a Mandiant e a seguradora Coalition para investigar. A empresa também compartilhou indicadores de comprometimento (IOCs) para apoiar caçadas internas.
- Google: agiu em duas frentes, desativando integrações do Drift no Workspace e emitindo recomendações públicas para todas as organizações que ainda usam a plataforma.
O tom unificado das comunicações é claro: não importa se sua empresa percebeu sinais de ataque ou não, você deve agir como se seus tokens estivessem comprometidos.
O que as empresas devem fazer agora
O consenso entre especialistas e fornecedores é de que este é um caso de comprometimento em larga escala que exige ação imediata.
As recomendações prioritárias são:
- Revisar integrações do Drift: acessar o painel de administrador e verificar todos os serviços conectados.
- Revogar e rotacionar credenciais: isso inclui tokens OAuth, chaves de API e senhas associadas.
- Investigar logs: procurar sinais de exportações massivas, consultas anômalas ou acessos vindos de IPs suspeitos (muitos deles associados à rede Tor).
- Caçar segredos expostos: usar ferramentas como o Trufflehog para identificar credenciais em bancos de dados ou arquivos exportados.
- Aplicar restrições adicionais: limitar permissões de apps conectados, configurar ranges de IP autorizados e reduzir tempos de sessão para usuários privilegiados.
- Resetar senhas: principalmente para contas ligadas ao Salesforce e ao Google Workspace com integração ativa ao Drift.
Essas medidas não são apenas boas práticas: são ações emergenciais para cortar qualquer possibilidade de acesso persistente pelos invasores.
O que este incidente nos ensina
Este ataque é um lembrete brutal do risco das integrações de terceiros. Muitas vezes, as empresas confiam tokens de acesso irrestritos a aplicativos externos sem monitorar ou limitar adequadamente suas permissões. Na prática, esses tokens funcionam como “credenciais invisíveis” que raramente expiram e podem ser exploradas silenciosamente por meses.
O caso do Salesloft Drift vulnerability mostra que, mesmo quando plataformas gigantes como Google e Salesforce são seguras, o elo mais fraco pode estar em um conector aparentemente inofensivo.
E a lição é clara: revisar, limitar e auditar todas as integrações não é mais opcional — é vital para a sobrevivência digital das empresas.