Um ciberataque em larga escala à cadeia de fornecimento abalou o mundo corporativo, com a Google a confirmar que piratas informáticos roubaram dados armazenados no Salesforce de mais de 200 empresas. A violação, que expôs informações sensíveis de várias organizações de alto perfil, não ocorreu devido a uma falha direta na plataforma da Salesforce, mas sim através de aplicações de terceiros ligadas ao ecossistema.
Na passada quinta-feira, a Salesforce divulgou uma violação de dados de "certos clientes" — sem nomear as empresas afetadas — que foram roubados através de aplicações publicadas pela Gainsight, uma plataforma de apoio ao cliente. Austin Larsen, analista principal de ameaças do Google Threat Intelligence Group, corroborou a gravidade da situação, afirmando que a gigante tecnológica "está ciente de mais de 200 instâncias Salesforce potencialmente afetadas".
O efeito dominó: de Salesloft a Salesforce
A complexidade deste ataque revela a fragilidade das interconexões digitais modernas. Segundo informações obtidas numa conversa online com os hackers do grupo ShinyHunters, o acesso à Gainsight foi conseguido graças a uma campanha de pirataria anterior que visou clientes da Salesloft (uma plataforma de marketing com IA chamada Drift).
Nesse ataque inicial, os cibercriminosos roubaram tokens de autenticação Drift. Estes tokens funcionaram como uma chave-mestra, permitindo aos hackers infiltrar-se nas instâncias Salesforce vinculadas e descarregar os seus conteúdos. A Gainsight, que era cliente da Salesloft Drift, foi uma das vítimas desse primeiro ataque, tornando-se inadvertidamente o vetor para esta nova vaga de intrusões massivas.
"A Gainsight era cliente da Salesloft Drift, foram afetados e, portanto, comprometidos inteiramente por nós", afirmou um porta-voz do grupo ShinyHunters ao TechCrunch. Em resposta, a Salesforce revogou temporariamente os tokens de acesso ativos para aplicações ligadas à Gainsight como medida de precaução.
Grandes nomes na lista de alvos e a resposta das empresas
Após a divulgação da brecha, um grupo de hackers conhecido como "Scattered Lapsus$ Hunters" — um coletivo que inclui gangues notórios como ShinyHunters e Scattered Spider — reivindicou a responsabilidade pelos ataques num canal de Telegram. A lista de alegadas vítimas inclui gigantes da tecnologia e comunicações como Atlassian, Docusign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters e Verizon.
A CrowdStrike, também mencionada pelos hackers, negou ter sido afetada pelo problema da Gainsight, garantindo que os dados dos clientes permanecem seguros. No entanto, a empresa de cibersegurança confirmou ter despedido um "funcionário interno suspeito" por alegadamente passar informações a hackers, numa situação paralela que sublinha os riscos internos de segurança.
Outras empresas reagiram com cautela. A Verizon afirmou estar ciente das alegações "não fundamentadas", enquanto a Docusign declarou não ter indicação de compromisso de dados após uma análise de registos, embora tenha terminado todas as integrações com a Gainsight por precaução. A Malwarebytes e a Thomson Reuters confirmaram estar a investigar ativamente a situação.
Ameaça de extorsão e a origem do ataque
O modus operandi deste grupo envolve frequentemente táticas de engenharia social para enganar funcionários e obter acesso a sistemas. No seu canal de Telegram, os Scattered Lapsus$ Hunters anunciaram planos para lançar um site dedicado à extorsão das vítimas desta campanha já na próxima semana, repetindo uma estratégia que já tinham utilizado em outubro após o incidente da Salesloft.
A Gainsight tem vindo a publicar atualizações sobre o incidente, confirmando que está a trabalhar com a unidade de resposta a incidentes da Google, a Mandiant, para investigar a brecha. A empresa reitera que o incidente teve origem na conexão externa das aplicações e não em qualquer vulnerabilidade da plataforma Salesforce, uma posição que a própria Salesforce fez questão de sublinhar para se distanciar da falha de segurança dos seus clientes.
Nenhum comentário
Seja o primeiro!