Uma nova campanha de varredura em massa está chamando a atenção da comunidade de segurança digital. Pesquisadores e a própria Salesforce alertaram que atores maliciosos estão explorando configurações inadequadas no Experience Cloud, utilizando uma versão modificada da ferramenta AuraInspector para coletar dados sensíveis de ambientes expostos.
O alerta reforça a crescente preocupação com a segurança no Salesforce Experience Cloud, especialmente em portais públicos e comunidades digitais criadas por empresas para interação com clientes, parceiros e fornecedores. Esses ambientes podem incluir portais de suporte, áreas de login para parceiros comerciais e comunidades de usuários.
O problema surge quando permissões incorretas permitem que visitantes anônimos acessem dados que deveriam ser restritos. Nesses casos, atacantes podem realizar consultas automatizadas diretamente nas APIs do sistema, sem necessidade de autenticação.
De acordo com especialistas em segurança, essa nova campanha utiliza ferramentas legítimas de auditoria, mas modificadas para extrair dados em grande escala, ampliando o risco para organizações que utilizam o Experience Cloud sem revisões regulares de segurança.
O que é o AuraInspector e como ele está sendo abusado
A ferramenta AuraInspector foi originalmente desenvolvida para ajudar desenvolvedores a analisar e depurar aplicações que utilizam o framework Aura, base de muitos componentes do Experience Cloud.
Essa ferramenta ganhou visibilidade quando pesquisadores da Mandiant, empresa de segurança atualmente pertencente ao Google, criaram versões internas utilizadas para investigação de segurança e análise de aplicações web baseadas em Salesforce.
No entanto, criminosos agora estão utilizando uma versão modificada do AuraInspector que automatiza requisições para endpoints específicos do Salesforce, especialmente o endpoint:
/s/sfsites/aura
Esse endpoint é responsável pela comunicação entre o navegador e os componentes do sistema. Em ambientes mal configurados, ele pode responder a consultas mesmo quando o usuário não está autenticado.
A versão alterada da ferramenta permite que os atacantes enviem requisições automatizadas para esses endpoints, enumerando objetos e recuperando dados disponíveis para perfis públicos.
Esse processo transforma uma ferramenta de depuração em um mecanismo de coleta de dados em larga escala. A consequência direta é a exposição potencial de informações que deveriam estar protegidas, comprometendo a segurança do Salesforce Experience Cloud em organizações que não revisaram suas configurações.
O perigo das configurações de permissões de usuário convidado
Um dos principais fatores que tornam esse ataque possível está nas permissões de usuário convidado.
No Experience Cloud, o perfil de usuário convidado é utilizado para permitir que visitantes acessem determinados conteúdos públicos sem necessidade de login. Isso é comum em páginas de suporte, formulários ou portais informativos.
O problema surge quando administradores concedem permissões excessivas a esse perfil.
Em alguns ambientes, usuários convidados acabam tendo acesso indireto a objetos do CRM, incluindo registros de clientes, dados de contato ou metadados da plataforma. Quando isso acontece, um invasor pode consultar essas informações usando apenas requisições HTTP automatizadas.
A exploração ocorre da seguinte forma:
- O atacante identifica um portal Experience Cloud público.
- A ferramenta modificada envia requisições para o endpoint do framework Aura.
- O sistema responde com dados disponíveis para o perfil público.
- As respostas são processadas automaticamente e armazenadas.
Se o ambiente estiver mal configurado, essa coleta pode incluir nomes de usuários, identificadores internos, estruturas de dados e até registros de clientes.
Esse cenário reforça que a segurança do Salesforce Experience Cloud depende fortemente de configurações adequadas e auditorias frequentes de permissões.
Riscos de engenharia social e vishing
Embora a extração inicial de dados possa parecer limitada, o impacto real surge nas etapas seguintes do ataque.
Informações como nomes, e-mails ou números de telefone podem ser utilizadas em campanhas de engenharia social altamente direcionadas. Uma das técnicas mais comuns nesse tipo de cenário é o vishing, ou phishing por voz.
Nesse tipo de ataque, criminosos entram em contato com vítimas fingindo representar equipes de suporte técnico, departamentos financeiros ou parceiros comerciais.
Quando os atacantes já possuem dados legítimos da organização, a abordagem se torna muito mais convincente. Eles podem mencionar projetos internos, nomes de funcionários ou detalhes operacionais que aumentam a credibilidade do golpe.
Alguns pesquisadores também apontam possíveis ligações entre essa campanha e atividades atribuídas ao grupo cibercriminoso conhecido como ShinyHunters, famoso por operações de vazamento e venda de bases de dados corporativas.
Embora não exista confirmação oficial dessa relação, o padrão de coleta automatizada e posterior uso de dados para fraude segue o mesmo modelo observado em campanhas anteriores.
Esse cenário demonstra que a segurança do Salesforce Experience Cloud não deve ser tratada apenas como um problema técnico, mas também como um risco operacional e reputacional.
Como proteger seu ambiente Salesforce
Diante desse cenário, especialistas recomendam que administradores revisem imediatamente suas configurações de segurança no Experience Cloud.
A Salesforce divulgou uma série de práticas recomendadas para reduzir o risco de exploração.
Entre as principais medidas estão:
1. Configurar acesso externo como privado: Objetos que não precisam ser públicos devem ter o nível de acesso definido como privado, evitando consultas diretas por usuários convidados.
2. Revisar permissões de usuário convidado: Administradores devem verificar cuidadosamente todas as permissões atribuídas ao perfil público e remover qualquer acesso desnecessário a objetos ou campos sensíveis.
3. Desativar APIs desnecessárias para convidados: Sempre que possível, o acesso a APIs e endpoints do framework Aura deve ser restrito para usuários autenticados.
4. Monitorar logs e tráfego anômalo: Ataques automatizados costumam gerar grande volume de requisições. Monitoramento contínuo pode identificar padrões suspeitos de acesso.
5. Realizar auditorias periódicas de segurança: Testes de configuração e avaliações de permissões devem fazer parte da rotina de segurança das organizações.
A aplicação dessas práticas fortalece significativamente a segurança Salesforce Experience Cloud, reduzindo as chances de exploração por ferramentas automatizadas.
Conclusão
A campanha de varredura que explora o AuraInspector modificado demonstra como ferramentas legítimas podem ser reaproveitadas para atividades maliciosas.
No caso do Experience Cloud, o problema não está necessariamente em vulnerabilidades da plataforma, mas em configurações inadequadas que expõem dados a usuários não autenticados.
Esse cenário reforça um princípio fundamental da computação em nuvem: a responsabilidade compartilhada. Enquanto o provedor garante a segurança da infraestrutura, cabe às organizações configurar corretamente permissões, acessos e políticas de dados.
Para empresas que utilizam portais públicos no Salesforce, auditorias regulares e revisões de permissões são essenciais para manter a segurança do Salesforce Experience Cloud e evitar que informações sensíveis se tornem acessíveis a atores maliciosos.
A prevenção, nesse caso, depende de visibilidade, monitoramento e governança contínua da plataforma.
