A Workiva, uma proeminente fornecedora de software na nuvem (SaaS), informou os seus clientes de que atacantes conseguiram roubar alguns dos seus dados após obterem acesso a um sistema de gestão de relacionamento com o cliente (CRM) de terceiros. A empresa, que registou receitas de 739 milhões de dólares em 2024, é conhecida por fornecer soluções que ajudam a gerir dados para relatórios financeiros, conformidade e auditorias.
A lista de clientes da Workiva é impressionante, incluindo 85% das empresas da Fortune 500, com nomes sonantes como Google, T-Mobile, Delta Air Lines, Slack, Santander, Nokia, Paramount, Air France KLM e Mercedes-Benz.
O que foi roubado e o que está seguro?
De acordo com um email enviado aos clientes afetados, os atacantes conseguiram extrair um conjunto limitado de informações de contacto empresarial. Estes dados incluem nomes, endereços de email, números de telefone e o conteúdo de tickets de suporte.
No entanto, a Workiva fez questão de sublinhar um ponto crucial: a plataforma principal da empresa e quaisquer dados contidos nela não foram acedidos ou comprometidos. A empresa alertou ainda os clientes para se manterem vigilantes, uma vez que a informação roubada pode ser utilizada em futuros ataques de spear-phishing.
Uma onda de ataques que não para: ShinyHunters e Salesforce na mira
Embora a Workiva não tenha especificado qual o fornecedor do CRM, esta falha de segurança parece fazer parte de uma vaga de ataques recentes ligados ao grupo de extorsão ShinyHunters, que tem como alvo clientes da Salesforce.
Esta campanha de ciberataques já afetou várias empresas de alto perfil. Recentemente, a Cloudflare revelou que os atacantes roubaram tokens da sua plataforma. A lista de vítimas inclui também a Google, Cisco, Allianz Life, Workday, Zscaler e Palo Alto Networks.
Como os atacantes conseguiram entrar?
O grupo ShinyHunters tem vindo a utilizar ataques de vishing (phishing por voz) desde o início do ano. Contudo, a tática evoluiu. Mais recentemente, os atacantes passaram a usar tokens OAuth roubados da integração de chat com IA Drift, da Salesloft, com a Salesforce.
Este método permite-lhes aceder às instâncias Salesforce das empresas e extrair informação sensível, como palavras-passe, chaves de acesso AWS e outros tokens que possam estar guardados em mensagens de clientes e tickets de suporte, demonstrando a sofisticação e persistência do grupo.
Nenhum comentário
Seja o primeiro!