A Salesforce encontra-se a alertar os seus clientes para uma campanha de ataques direcionada a plataformas Experience Cloud mal configuradas. O grupo de extorsão ShinyHunters afirma estar a explorar ativamente estas configurações para roubar dados de centenas de organizações. A informação foi avançada pelo BleepingComputer.
O método de ataque e as reivindicações do grupo
Segundo as informações recolhidas, os piratas informáticos estão a tirar proveito do endpoint de API direcionado a utilizadores convidados nas instâncias afetadas. Esta falha de configuração concede aos visitantes anónimos permissões excessivas, o que lhes permite consultar objetos diretamente sem necessitar de autenticação. A empresa clarifica que isto não se trata de uma vulnerabilidade da plataforma em si, mas de definições incorretas estabelecidas pelos clientes.
Os ShinyHunters assumiram a responsabilidade pelos ataques nos seus canais oficiais, revelando que começaram a comprometer empresas em setembro de 2025. O grupo afirma ter acedido a dados de um número entre 300 e 400 organizações, com especial foco no setor da cibersegurança.
Para realizar os ataques, os cibercriminosos têm utilizado uma versão modificada do AuraInspector, uma ferramenta de auditoria de código aberto criada pela Mandiant. Através desta modificação, conseguiram realizar varrimentos massivos à procura de instâncias expostas. Além disso, criaram a sua própria ferramenta de extração que apresenta um user agent com o nome da Anthropic, contornando as restrições normais de volume de pesquisa de dados da empresa de software.
Curiosamente, os piratas informáticos alegam agora ter descoberto um método que permite extrair informações até mesmo em sistemas que se encontrem devidamente configurados. Contudo, a fornecedora de software continua a rejeitar a existência de qualquer falha na raiz da sua infraestrutura. Os ataques mais recentes também estão a camuflar-se através de identificadores de navegadores perfeitamente normais.
Como proteger as plataformas vulneráveis
A fornecedora sublinha que as organizações precisam de auditar as permissões dos utilizadores convidados e implementar o princípio do menor privilégio. A ação de maior impacto para mitigar o risco passa por desativar o acesso de convidados às APIs públicas.
Foram ainda deixadas recomendações claras de segurança que os administradores de sistemas devem aplicar de imediato:
Reduzir as permissões dos perfis de convidados para o estritamente necessário.
Definir o padrão de acesso externo como privado em toda a organização.
Desativar a visibilidade de utilizadores do portal e do site para evitar que visitantes enumerem contas internas.
Desligar o auto-registo, a menos que seja verdadeiramente indispensável, para impedir que dados expostos sejam usados para expandir o acesso.
Os responsáveis técnicos são também aconselhados a analisar detalhadamente os registos de eventos à procura de padrões de acesso incomuns, endereços IP desconhecidos ou pesquisas de objetos que deveriam estar ocultos. Surpreendentemente, os próprios cibercriminosos indicaram que desativar o acesso público numa instância bloqueia estas investidas, embora esta medida acabe por transformar o espaço num portal totalmente fechado.
Nenhum comentário
Seja o primeiro!