O vazamento Salesforce recentemente divulgado pelo grupo ShinyHunters revelou a exposição de impressionantes 1,5 bilhão de registros de clientes, afetando diretamente 760 empresas ao redor do mundo. Este incidente, considerado um dos maiores do ano, não ocorreu por uma falha no próprio Salesforce, mas sim por meio de uma vulnerabilidade no ecossistema de integrações da plataforma. Entre os dados comprometidos, encontram-se informações sensíveis de contas, contatos, oportunidades e tickets de suporte, o que evidencia a gravidade do ataque.
Neste artigo, vamos detalhar como o ataque foi executado, quem são os responsáveis, qual foi o impacto para as empresas envolvidas e, principalmente, apresentar um guia de melhores práticas de segurança para proteger sistemas similares. Para profissionais de TI, administradores de sistemas, desenvolvedores e gestores de segurança, compreender a mecânica desse incidente é fundamental para fortalecer a defesa contra ameaças futuras.
O Salesforce é um pilar crítico para operações de vendas e suporte em milhares de empresas globalmente. Qualquer violação em sua plataforma não afeta apenas dados, mas compromete processos empresariais, estratégias de relacionamento com clientes e a confiança corporativa. O ataque demonstrou como integrações de terceiros podem ser um elo vulnerável, exigindo atenção especial de todos os responsáveis pela segurança da informação.
O que aconteceu: a escala do vazamento no Salesforce
O vazamento Salesforce atingiu números alarmantes. Segundo informações divulgadas, foram comprometidos 1,5 bilhão de registros, distribuídos entre diferentes tabelas de dados críticas:
- Conta: 250 milhões
- Contato: 579 milhões
- Oportunidade: 171 milhões
- Usuário: 60 milhões
- Caso: 459 milhões
Dentre essas, a tabela Caso merece atenção especial, pois armazena tickets de suporte que podem conter informações confidenciais, credenciais de clientes e dados sensíveis relacionados a problemas técnicos e operacionais. A exposição de tais informações não apenas compromete a privacidade, mas também abre portas para ataques subsequentes, como acesso não autorizado a sistemas em nuvem, credenciais de administradores e até exploração de APIs.
Como o ataque foi executado: a trilha dos tokens OAuth
A complexidade do ataque mostra o nível de sofisticação envolvido. O ponto de entrada não foi uma falha no Salesforce em si, mas sim a exploração de tokens OAuth obtidos a partir de uma aplicação de terceiros chamada Drift, utilizada para comunicação integrada com o CRM.
A invasão ao GitHub da Salesloft
O ataque começou com a violação de um repositório privado no GitHub da Salesloft, uma empresa parceira que integra soluções com Salesforce. O repositório continha o código-fonte de aplicações conectadas ao ecossistema de clientes Salesforce, incluindo scripts e integrações críticas.
A descoberta dos segredos com TruffleHog
Para extrair informações sensíveis do código, os atacantes utilizaram ferramentas como TruffleHog, que escaneiam repositórios em busca de segredos embutidos, como chaves de API e tokens de autenticação. Esse tipo de análise permite identificar credenciais que, inadvertidamente, foram incluídas no código-fonte.
O papel dos tokens do Drift: a porta de entrada
Os tokens encontrados eram tokens OAuth para Salesloft Drift e Drift Email, permitindo acesso autorizado aos dados de clientes sem necessidade de senha. O Drift é uma plataforma de chat que se integra ao CRM do Salesforce, possibilitando comunicação direta e registro de interações. Com o token OAuth, os atacantes conseguiram contornar autenticações e acessar dados críticos em grande escala.
O resultado: acesso direto a dados críticos
Com esses tokens, os criminosos obtiveram acesso direto às informações de 760 empresas, extraindo massivamente dados de contas, contatos, oportunidades e tickets de suporte. Essa técnica demonstrou a vulnerabilidade do modelo de integração de aplicativos de terceiros, transformando o vazamento Salesforce em um dos mais significativos incidentes de dados recentes.
Quem são os responsáveis? A conexão com ShinyHunters e Scattered Spider
O grupo ShinyHunters é conhecido por ataques de vazamento de dados e campanhas de extorsão. Recentemente, houve uma fusão de grupos como Scattered Spider e Lapsus$, que agora se autodenominam Scattered Lapsus$ Hunters. O Google rastreia as atividades dessas organizações sob os codinomes UNC6040 e UNC6395, associando-as a ataques sofisticados e de grande escala.
Esses grupos não apenas roubam dados, mas também os exploram para lançar novas campanhas de comprometimento de sistemas, vendendo informações sensíveis e explorando vulnerabilidades adicionais em plataformas conectadas.
Impacto e empresas afetadas: mais do que apenas dados de contato
Entre as empresas afetadas pelo vazamento Salesforce, destacam-se gigantes do setor de tecnologia, incluindo Google, Cloudflare, Zscaler, Tenable e Palo Alto Networks. A amplitude do ataque evidencia que nenhuma organização, independentemente do porte, está imune a riscos decorrentes de integrações externas.
Os dados roubados foram usados para buscar credenciais adicionais, chaves de AWS e tokens do Snowflake contidos nos tickets de suporte, permitindo que os atacantes planejassem ataques subsequentes. A exposição de informações de suporte técnico mostra que o risco vai muito além de simples contatos ou contas de usuários.
Recomendações oficiais: como proteger sua instância do Salesforce
Para reduzir riscos e evitar que ataques semelhantes comprometam sua organização, as seguintes medidas de segurança são recomendadas:
- Ative a autenticação multifator (MFA) em todos os acessos, especialmente para contas de administradores e integrações de terceiros.
- Aplique o princípio do menor privilégio (PoLP), garantindo que usuários e aplicativos tenham acesso apenas ao que é estritamente necessário.
- Gerencie e audite rigorosamente aplicativos conectados e suas permissões OAuth, removendo tokens não utilizados ou suspeitos.
- Monitore logs de acesso para identificar atividades incomuns, como extrações de dados em massa ou acessos fora do horário comercial.
- Treine equipes sobre riscos associados a integrações de terceiros e práticas seguras de armazenamento de credenciais.
Seguindo essas diretrizes, as organizações podem reduzir significativamente o risco de exposições semelhantes e manter a integridade de seus dados críticos.
Conclusão: um alerta para a segurança de integrações na nuvem
O vazamento Salesforce deixa claro que a segurança do ecossistema de integrações é tão importante quanto a da própria plataforma. O ataque não explorou uma vulnerabilidade direta do Salesforce, mas demonstrou como um elo fraco — tokens OAuth de aplicativos de terceiros — pode colocar bilhões de registros em risco.
Não espere ser o próximo alvo. Faça hoje mesmo uma auditoria completa de todos os aplicativos de terceiros conectados aos seus sistemas críticos e revise suas permissões de acesso. A segurança da cadeia de suprimentos de software é um componente essencial da estratégia de defesa de qualquer organização moderna.
