Um ataque cibernético em larga escala vazou informações de mais de 200 empresas que utilizam serviços do Salesforce, segundo comunicado do Google. A situação gerou alarme porque a invasão teve origem em aplicativos compartilhados por diversas organizações, ampliando o alcance do incidente além do esperado.
O coletivo Scattered Lapsus$ Hunters assumiu a responsabilidade pela operação em publicações no Telegram, o que intensificou a apreensão no setor de tecnologia, segundo o TechCrunch.
Como o ataque afetou tanta gente?
Tudo começou quando a Salesforce informou ter detectado uma violação que atingiu “certos clientes”, sem identificar nomes específicos. Posteriormente apurou-se que a falha teve origem em aplicativos desenvolvidos pela Gainsight, fornecedora de ferramentas de suporte e integrações com a plataforma Salesforce.
Conforme Austin Larsen, analista do Google Threat Intelligence Group, mais de 200 contas ligadas a diferentes empresas na plataforma foram comprometidas. Logo após as primeiras divulgações, o grupo Scattered Lapsus$ Hunters publicou reivindicações em um canal do Telegram, postagens às quais o TechCrunch teve acesso.
Na lista de organizações apontadas pelos invasores estão nomes como Atlassian, CrowdStrike, DocuSign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters e Verizon.
O que o grupo fez para invadir as contas
Segundo a facção ShinyHunters, um dos grupos envolvidos, a ofensiva tirou proveito de uma campanha anterior direcionada a clientes da Salesloft. Nessa operação anterior, tokens de autenticação do serviço de marketing Drift teriam sido subtraídos, permitindo o acesso às contas do Salesforce conectadas ao Drift.
A Gainsight, que era cliente do Salesloft Drift, foi afetada e ficou totalmente comprometida.
Declaração de um representante do Scattered Lapsus$ Hunters ao TechCrunch.
Empresas correm para responder: algumas negam impacto
Ao serem questionadas, diversas companhias se pronunciaram. A CrowdStrike descartou qualquer ligação com a ‘questão da Gainsight’ e garantiu que os dados de seus clientes continuam protegidos.
A Verizon descreveu as alegações dos hackers como infundadas. A Malwarebytes informou que está ciente do episódio e conduz investigações; a Thomson Reuters adotou posição semelhante.
A Salesforce destacou que não encontrou sinais de vulnerabilidade na própria plataforma. A Gainsight, por sua vez, publicou uma página pública com atualizações e comunicou que trabalha com a Mandiant, unidade de resposta a incidentes do Google.
A empresa informou que o ataque se originou na conexão externa dos aplicativos e que a investigação forense continua em andamento. Como medida preventiva, o Salesforce revogou temporariamente tokens de acesso vinculados à Gainsight.
Quem são os Scattered Lapsus$ Hunters?
O nome pode parecer conhecido porque o grupo agrega integrantes de coletivos como ShinyHunters, Scattered Spider e Lapsus$, todos com histórico de ações similares.
- Usar engenharia social para manipular colaboradores
- Obter acessos internos com privilégios elevados
- Explorar cadeias de fornecedores interconectadas
- Extorquir empresas após a exfiltração de grandes volumes de dados
Nos últimos anos, essas facções atacaram empresas como MGM Resorts, Coinbase e DoorDash. Agora declararam a intenção de lançar um site de extorsão dedicado às vítimas desta nova ofensiva, repetindo táticas adotadas em campanhas anteriores.
