O Google emitiu um alerta urgente sobre a violação da Salesloft Drift, que inicialmente parecia restringir-se ao Salesforce, mas agora foi confirmada como tendo impacto também em contas de e-mail do Google Workspace. A descoberta mostra como integrações de terceiros podem se tornar o elo frágil da cadeia de segurança digital.
Na prática, invasores exploraram tokens OAuth roubados para acessar dados sensíveis, incluindo consultas em bancos de dados do Salesforce e mensagens de e-mail em contas corporativas do Google Workspace. Este artigo explica em detalhes o que aconteceu, os riscos envolvidos e as medidas imediatas recomendadas pelo Google.
O episódio serve de alerta para empresas que dependem de integrações com ferramentas externas: a conveniência pode ampliar a superfície de ataque, expondo dados críticos se não houver um controle rigoroso.
O que aconteceu: Detalhes da violação da Salesloft Drift
O ataque inicial e o roubo de tokens OAuth
A violação, rastreada pelo Google e parceiros de segurança sob o código UNC6395, teve início na exploração da integração entre o Drift e o Salesforce. Os atacantes conseguiram roubar tokens OAuth, credenciais usadas para autenticar comunicações entre serviços sem precisar de senhas tradicionais.
Com esses tokens, os criminosos executaram consultas diretamente em tabelas críticas, como “Casos”, “Contas” e “Usuários”, acessando informações confidenciais de clientes corporativos. O uso desse método permitiu aos invasores agir de forma furtiva, aproveitando-se de permissões legítimas concedidas aos aplicativos.
A expansão do ataque: De Salesforce para Google Workspace
Em nova análise, o Google Threat Intelligence revelou que a violação se estendeu além do Salesforce. O componente “Drift Email”, usado para integrar mensagens com sistemas de marketing e CRM, também foi comprometido. Isso possibilitou que os atacantes acessassem e-mails de um “número muito pequeno” de contas do Google Workspace, segundo o Google.
Apesar de a escala parecer limitada, o impacto é altamente significativo: mesmo poucos acessos indevidos podem expor segredos comerciais, negociações estratégicas e informações pessoais sensíveis.
O real perigo: Por que um token OAuth é tão valioso?
Simplificando o OAuth
Um token OAuth pode ser entendido como uma “chave de manobrista digital”. Ele concede acesso temporário e limitado a determinados serviços sem expor a senha principal do usuário. Assim como um manobrista pode estacionar o carro sem ter a chave da casa, um aplicativo pode acessar o e-mail ou o CRM sem saber a senha do usuário.
O problema é que, se essa chave for roubada, o invasor passa a ter o mesmo nível de acesso autorizado originalmente — muitas vezes sem levantar suspeitas, já que o tráfego parece legítimo.
O risco das integrações de terceiros
A integração de ferramentas como Drift, Google Workspace e Salesforce aumenta a eficiência dos times de vendas e marketing. Contudo, cada conexão cria uma nova relação de confiança. Se um elo dessa corrente é comprometido, como ocorreu na violação Salesloft Google, toda a cadeia pode ser explorada.
Esse incidente mostra a importância de avaliar com cautela quais aplicativos realmente precisam ter acesso às contas corporativas.
Ação imediata: O que o Google recomenda que você faça agora
Trate todos os tokens como comprometidos
O Google orienta que todas as empresas que utilizam integrações do Drift devem considerar todos os tokens de autenticação como potencialmente comprometidos. Isso significa que mesmo tokens ainda não identificados como explorados podem estar sob risco.
Guia prático: Revogar e rotacionar credenciais
As recomendações práticas incluem:
- Revogar imediatamente as credenciais associadas às integrações com o Drift.
- Rotacionar tokens e chaves, emitindo novos para cada integração.
- Investigar atividades suspeitas em sistemas conectados, com foco em acessos e consultas fora do padrão.
- Notificar equipes internas de segurança e usuários afetados, mantendo transparência na resposta ao incidente.
Auditoria de segurança em seu Workspace
Além das medidas emergenciais, é essencial realizar uma auditoria completa no Google Workspace e no Salesforce. Verifique todos os aplicativos de terceiros conectados e remova aqueles que não são indispensáveis. Quanto menos integrações ativas, menor a superfície de ataque.
Conclusão: Uma lição sobre a segurança na nuvem
A violação Salesloft Google reforça um princípio básico da segurança da informação: a rede de uma empresa é tão segura quanto seu elo mais fraco. Tokens OAuth, criados para simplificar integrações, se tornam alvos valiosos quando não são gerenciados com o devido rigor.
O incidente serve como alerta para empresas que confiam em integrações de terceiros: conveniência não pode estar acima de boas práticas de segurança.
A mensagem é clara: não espere pelo próximo alerta. Faça agora mesmo uma revisão das integrações no seu ambiente Google Workspace e Salesforce. Pergunte-se: você sabe exatamente quais aplicativos têm acesso aos seus dados corporativos?
