Um ataque cibernético generalizado comprometeu os dados do Salesforce de mais de 200 empresas, após uma violação na Gainsight, um fornecedor de plataforma de suporte ao cliente. O incidente destaca os riscos crescentes nas cadeias de fornecimento de software e a crescente sofisticação dos grupos de hackers.
A violação e as empresas afetadas
Hackers, operando sob o nome de Scattered Lapsus$ Hunters (incluindo membros da gangue ShinyHunters), extraíram com sucesso dados de inúmeras instâncias do Salesforce por meio de aplicativos publicados pela Gainsight. Embora a Salesforce inicialmente tenha minimizado o incidente, afirmando que não existe vulnerabilidade em sua plataforma, agora foi confirmado que a extensão da violação afetou mais de 200 organizações.
O grupo de hackers assumiu publicamente a responsabilidade por atingir grandes corporações, incluindo Atlassian, CrowdStrike, Docusign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters e Verizon. Apesar destas alegações, o âmbito exacto dos dados comprometidos permanece obscuro, uma vez que muitas empresas ainda não reconheceram publicamente o seu envolvimento.
Como funcionou o hack
O ataque aproveitou uma campanha anterior que tinha como alvo o Salesloft, outra plataforma de marketing. Os hackers roubaram tokens de autenticação Drift de clientes Salesloft, concedendo-lhes acesso não autorizado a contas vinculadas do Salesforce. A Gainsight, sendo cliente da Salesloft, foi então comprometida, criando um efeito cascata que expôs os dados de seus clientes. Os hackers confirmaram mais tarde que todo o comprometimento da Gainsight veio desse hack anterior.
Respostas e investigações da empresa
As reações das empresas afetadas variaram. CrowdStrike rapidamente declarou que não foi afetado e demitiu um suspeito de informação interna que pode ter ajudado os hackers. A Verizon rejeitou as alegações como “infundadas”, enquanto a Malwarebytes e a Thomson Reuters confirmaram que estavam investigando. A Docusign, embora não tenha encontrado nenhuma evidência imediata de comprometimento, encerrou proativamente as integrações do Gainsight como precaução. A Salesforce revogou temporariamente os tokens de acesso ativo para aplicativos conectados ao Gainsight como precaução.
Extorsão e ameaças futuras
Scattered Lapsus$ Hunters planeja lançar um site de extorsão na próxima semana para exigir resgate das vítimas, refletindo táticas usadas em incidentes anteriores. O grupo, um coletivo de hackers de língua inglesa de gangues como ShinyHunters, Scattered Spider e Lapsus$, é especializado em engenharia social para infiltração de sistemas.
O panorama geral
Este incidente sublinha a vulnerabilidade dos ecossistemas de software interligados. Aplicativos e integrações de terceiros podem servir como elos fracos, permitindo que invasores obtenham acesso a dados confidenciais mantidos por grandes corporações. O facto de a Salesforce se ter distanciado da violação, apesar dos seus clientes terem sido afetados, levanta questões sobre a responsabilidade da plataforma na segurança da cadeia de abastecimento.
O ataque serve como um lembrete claro de que a segurança dos dados não se trata apenas de proteger os próprios sistemas, mas também de verificar as práticas de segurança de cada serviço conectado.
