São Paulo — InkDesign News — Um grupo de hackers, conhecido como UNC6395, explorou uma vulnerabilidade no aplicativo Salesloft Drift para roubar tokens OAuth, resultando no acesso não autorizado a dados do Salesforce de várias empresas de tecnologia e cibersegurança em agosto de 2025.
Incidente e vulnerabilidade
O ataque, classificado como um vazamento de cadeia de suprimentos, comprometeu o Salesloft Drift, um software de marketing amplamente utilizado para automatizar fluxos de trabalho de vendas. Os invasores exploraram uma falha para obter tokens OAuth, que são chaves digitais que permitem ao aplicativo se conectar a outros serviços. Com esses tokens roubados, os hackers ganharam acesso não autorizado às contas do Salesforce de várias empresas, incluindo Palo Alto Networks e Zscaler.
Impacto e resposta
De acordo com relatórios, informa-se que o PagerDuty recebeu notificações sobre o incidente em 20 de agosto de 2025 e, três dias depois, soube que os atacantes poderiam ter acessado dados do Salesforce. As informações expostas incluíam detalhes de contato comercial, como nomes, endereços de e-mail, cargos e números de telefone. Tanto a Zscaler quanto o PagerDuty confirmaram que o incidente foi contido ao Salesforce e não afetou outros serviços. O Palo Alto Networks mencionou que um de seus Salesforce foi comprometido através da integração com Salesloft, levando à revogação imediata dos tokens afetados.
“Não encontramos nenhuma evidência de uso indevido e recomendamos que os clientes mantenham vigilância reforçada.”
(“No evidence of misuse has been found, we recommend that customers maintain heightened vigilance.”)— Zscaler
Mitigações recomendadas
As empresas afetadas aconselharam seus clientes a adotar boas práticas de segurança, incluindo a mudança de senhas e a ativação da autenticação de dois fatores. Além disso, recomenda-se vigilância contínua contra tentativas de phishing. As investigações em andamento visam avaliar a extensão do vazamento e a eficácia das práticas atuais de gerenciamento de riscos de terceiros.
“Confirmamos que não houve indicações de acesso à plataforma PagerDuty ou a qualquer outro sistema interno.”
(“We have not seen any indication that access to the PagerDuty platform or any other internal systems or resources beyond Salesforce may have occurred.”)— PagerDuty
O incidente ressalta os riscos consideráveis da dependência de aplicativos de terceiros. As empresas devem permanecer vigilantes e fortalecer suas defesas contra possíveis compromissos futuros enquanto as investigações prosseguem, visando assegurar que os sistemas e dados permanecem protegidos.
Fonte: (Hack Read – Segurança Cibernética)
