A Cloudflare, uma das maiores empresas de infraestrutura da internet, é a mais recente vítima de uma onda de ataques que explorou uma falha na plataforma Salesloft Drift. A empresa confirmou que os atacantes conseguiram aceder a uma instância da Salesforce utilizada internamente para a gestão de casos e suporte a clientes.
A violação de segurança, que se insere num ataque à cadeia de abastecimento, resultou na exposição de dados sensíveis. A Cloudflare foi notificada do incidente a 23 de agosto e agiu rapidamente para mitigar os danos, informando os clientes afetados a 2 de setembro.
O que foi roubado e qual o impacto
Segundo o comunicado oficial da Cloudflare, a investigação revelou que os atacantes tiveram acesso aos sistemas entre 12 e 17 de agosto, após uma fase inicial de reconhecimento a 9 de agosto. Durante este período, foram roubados 104 tokens de API da plataforma da empresa.
Para além dos tokens, os atacantes extraíram objetos de texto dos casos de suporte na Salesforce. Estes dados incluíam informações de contacto dos clientes (como nome da empresa, email, número de telefone e país), o assunto dos pedidos de suporte e o conteúdo das mensagens trocadas.
A Cloudflare alerta que qualquer informação partilhada pelos clientes nos pedidos de suporte – incluindo registos, tokens ou passwords – deve ser considerada comprometida. A empresa já procedeu à rotação de todos os 104 tokens de API expostos, mesmo sem ter detetado, até ao momento, qualquer atividade suspeita associada aos mesmos.
Um aviso para todos os clientes
A recomendação da Cloudflare para os seus clientes é clara e urgente: devem proceder à rotação imediata de quaisquer credenciais que possam ter sido partilhadas com a equipa de suporte através da plataforma da Salesforce.
A empresa acredita que este não foi um evento isolado e suspeita que o objetivo dos atacantes é recolher credenciais e informações de clientes para lançar futuros ataques direcionados. A Cloudflare sublinha que centenas de organizações foram afetadas através desta falha na plataforma Drift, aumentando o risco para todos os envolvidos.
Parte de uma onda de ataques a utilizadores da Salesforce
Este incidente junta-se a uma crescente lista de empresas de renome afetadas por ataques semelhantes que visam clientes da Salesforce. A Palo Alto Networks também confirmou recentemente uma violação de dados de suporte através do mesmo vetor de ataque.
Desde o início do ano, o grupo de extorsão ShinyHunters tem sido associado a uma campanha que utiliza técnicas de vishing (phishing por voz) para enganar funcionários e instalar aplicações OAuth maliciosas nas suas instâncias da Salesforce. Esta tática já resultou em violações de dados em empresas como a Google, Cisco, Qantas e Workday. Embora a ligação dos ShinyHunters a este ataque específico não seja conclusiva, o método de atuação é semelhante.
Nenhum comentário
Seja o primeiro!