Mensagens anteriores

A Workday, empresa de tecnologia especializada em software de recursos humanos, confirmou ter sido vítima de uma falha de segurança que resultou no acesso não autorizado à sua plataforma de gestão de relacionamento com o cliente (CRM), fornecida por terceiros.

Engenharia social na origem do ataque

O incidente foi o resultado de uma campanha de engenharia social direcionada aos colaboradores da empresa. Os atacantes fizeram-se passar por elementos dos departamentos de TI ou de recursos humanos para enganar os funcionários, levando-os a partilhar informações de acesso às suas contas ou dados pessoais.

Numa publicação no seu blogue oficial, a Workday assegura que agiu rapidamente para bloquear o acesso e implementou salvaguardas adicionais para prevenir incidentes semelhantes no futuro.

Dados de contacto expostos

Segundo a empresa, embora os atacantes tenham conseguido aceder a alguma informação presente no CRM, não há qualquer indicação de que tenham acedido às contas dos clientes ou aos dados nelas contidos. A informação comprometida consiste em dados de contacto empresariais, como nomes, endereços de e-mail e números de telefone. A Workday sublinha que se trata de informação "comummente disponível", sugerindo que os dados dos utilizadores finais das empresas clientes não foram expostos.

No entanto, a declaração de que "não há indicação" de uma violação mais profunda não é uma garantia absoluta, uma vez que a verdadeira dimensão de ataques desta natureza pode levar algum tempo a ser totalmente apurada.

Este incidente ocorre num ano em que a Workday já tinha dispensado cerca de 1.750 colaboradores, afirmando na altura que estava a "priorizar investimentos em inovação como IA e desenvolvimento de plataformas". A empresa não divulgou o nome da plataforma de CRM de terceiros que foi comprometida. Ataques semelhantes não são inéditos, com casos recentes a afetar a Google através da Salesforce e a Disney, que abandonou o Slack, também da Salesforce, após uma falha de segurança.