São Paulo — InkDesign News — Um novo alerta do Google e da Mandiant revela uma ampla campanha de violação de dados no Salesforce, conduzida pelo ator ameaçador UNC6395 entre 8 e 18 de agosto de 2025, utilizando tokens OAuth comprometidos para contornar a autenticação multifator (MFA).
Incidente e vulnerabilidade
A campanha de UNC6395 não explorou vulnerabilidades na plataforma Salesforce, mas comprometeu tokens OAuth da aplicação de terceiros Salesloft Drift. Esses tokens funcionam como chaves digitais que permitem acesso a contas de usuários sem a necessidade de senhas. Ao abusar das identidades não-humanas (NHIs), os atacantes conseguiram contornar medidas de segurança tradicionais, como a MFA, facilitando o acesso não autorizado às contas. O Google Threat Intelligence Group (GTIG) destacou a gravidade do incidente, que não foi classificado sob um CVE específico.
Impacto e resposta
O ataque resultou na exportação sistemática de grandes volumes de dados de diversas contas corporativas do Salesforce. Os dados visados incluíam credenciais e informações sensíveis, como chaves de acesso da AWS e tokens do Snowflake. O alerta também indicou que os clientes do Google Cloud não foram diretamente impactados. Em resposta rápida, a Salesloft, em colaboração com a Salesforce, revogou todos os tokens de acesso ativos para o aplicativo Drift em 20 de agosto de 2025, além de remover temporariamente o aplicativo da plataforma AppExchange enquanto a investigação prossegue.
Mitigações recomendadas
O GTIG recomenda que as organizações adotem medidas proativas de segurança. Sugestões incluem restringir os escopos de aplicativos conectados, buscar segredos expostos nos dados do Salesforce, rotacionar credenciais comprometidas e implementar restrições de IP para mitigar riscos futuros. “Infelizmente, a maioria das vezes o que vemos é que as pessoas não sabem o que não sabem sobre suas NHIs”, afirmou Jonathan Sander, Field CTO da Astrix Security.
(“Sadly, most of the time what we see is that people don’t know what they don’t know about their NHIs.”)
— Jonathan Sander, Field CTO, Astrix Security
Este incidente exemplifica uma tendência crescente de uso de NHIs por atacantes, permitindo acesso direto e confiável para a exfiltração de dados. As empresas devem desenvolver uma inventário básico de suas identidades não-humanas para reforçar a segurança.
Em síntese, a violação de dados evidencia riscos residuais e a necessidade de ações contínuas para fortalecer a segurança das informações nas organizações.
Fonte: (Hack Read – Segurança Cibernética)
