Imagine confiar em um chatbot de IA — como o Drift — para otimizar as interações com seus clientes. Agora imagine que o bot se torne a porta de entrada para hackers invadirem seus sistemas Salesforce. Esse cenário se concretizou para centenas de organizações neste verão.
Em meados de agosto, uma onda de violações teve como alvo instâncias do Salesforce por meio de tokens OAuth roubados emitidos para o usuário. SalesLoft–Drift integração. O ataque foi relacionado a Caçadores de Brilhantes, conhecida por visar grandes empresas, que usavam esses tokens para extrair dados silenciosamente — desde contatos de clientes e registros de casos de suporte até credenciais e anotações internas de plataformas como Cloudflare, Palo Alto Networks, Zscaler, SpyCloud e outras.
Essa violação não foi uma falha isolada — foi um alerta massivo. Ela afetou líderes de cibersegurança de diversos fornecedores. O Google relatou que as falhas se estenderam aos afetados. Espaço de trabalho do Google contas, e as equipes de segurança se mobilizaram para combater uma onda crescente de campanhas de phishing direcionadas, preenchimento de credenciais e ataques laterais.
A violação de segurança evidencia uma dura realidade: à medida que os ecossistemas de SaaS se tornam mais interconectados, as organizações precisam saber exatamente onde residem os dados e credenciais sensíveis. quem tem acessoe como os atacantes poderiam explorar essas conexões.
Causas principais da ruptura da derivação da Salesloft
1. Acesso confiável de terceiros sem supervisão
Os atacantes não se infiltraram nos sistemas por meio de força bruta; eles se aproveitaram de... Tokens OAuth associados à integração de chat SalesLoft–Drift. Esses tokens funcionavam como chaves mestras para instâncias do Salesforce de mais de 700 organizações, concedendo acesso privilegiado e não monitorado a dados críticos. Sem controle centralizado ou visibilidade sobre aplicativos de terceirosAs organizações não tinham conhecimento em tempo real de quem estava vendo o quê. Essa integração confiável tornou-se uma vulnerabilidade que foi explorada como vetor de ataque.
2. Exfiltração de dados em massa não autorizada
Uma vez dentro do sistema, os agentes maliciosos agiram com rapidez e precisão. Os atacantes realizaram exportações massivas de dados, incluindo Contas, Contatos, Casos e Oportunidades, através de API Bulk 2.0 da Salesforce Em menos de três minutos. Em seguida, eles apagaram ativamente os registros de consultas para encobrir seus rastros. Este playbook demonstra um alto grau de automação e discrição, exemplificando um modelo de exfiltração como serviço.
3. Reconhecimento Lento de Danos
Muitas empresas só perceberam a violação após a revogação do acesso. A Salesforce e a SalesLoft tiveram que desativar completamente a integração e revogar os tokens. Somente então a visibilidade e a análise dos registros começaram. A essa altura, os invasores já haviam coletado credenciais e dados confidenciais, o que poderia ter alimentado novos ataques.
4. Falta de informações sobre o acesso após incidentes
Mesmo após descobrirem a violação, as organizações tiveram dificuldades para determinar quais dados exatos foram roubados, quais usuários foram afetados e onde ocorreram as operações com tokens. Sem essa visibilidade e inteligência dos dados, o controle de danos laterais — como a rotação de tokens, a notificação de usuários e a triagem jurídica — torna-se lento e fragmentado.
O que as organizações devem fazer para combater esse tipo de violação
As integrações tornam as plataformas SaaS mais robustas, mas também introduzem novos riscos. Para reduzir a probabilidade de uma violação como o incidente Salesloft-Drift, as equipes de segurança devem:
Reforçar a segurança da integração de SaaS
Tokens OAuth e integrações de aplicativos de terceiros representam uma superfície de ataque oculta. As organizações devem auditar regularmente quais aplicativos estão conectados a plataformas como o Salesforce, avaliar quais escopos e acessos a dados foram concedidos a eles e remover quaisquer integrações desnecessárias ou inativas.
Avaliar as capacidades de segurança de terceiros
Análise rigorosa de fornecedores é igualmente essencial; as empresas devem exigir que os fornecedores sigam práticas de segurança robustas, passem por revisões periódicas e forneçam evidências de conformidade com padrões reconhecidos, como ISO 27001 ou SOC 2.
Melhorar a visibilidade e o monitoramento de dados
As violações de dados muitas vezes passam despercebidas por semanas porque as organizações não têm visibilidade de como os dados estão sendo acessados e movimentados. As empresas devem adotar descoberta e monitoramento automatizados soluções que catalogam fluxos de dados de entrada e saída de plataformas SaaS, detectam anomalias como exportações em massa ou consultas não padronizadas, e sombra da bandeira IA ou uso não autorizado do aplicativo.
Implementar controles de identidade e acesso rigorosos.
Ataques baseados em OAuth exploram controles de acesso fracos. Para mitigar esses riscos, as organizações devem reforçar a segurança dos controles de acesso. Confiança Zero Os princípios de segurança são aplicados limitando o acesso com base na função, no contexto e na integridade do dispositivo. As equipes de segurança devem configurar tokens OAuth com políticas de expiração, rotacioná-los frequentemente e revogá-los automaticamente quando atividades suspeitas forem detectadas. A autenticação multifator (MFA) deve ser obrigatória em todas as contas privilegiadas, e a autenticação adaptativa pode ajudar a bloquear o acesso de locais ou dispositivos incomuns.
Reforçar a prontidão para resposta a incidentes
As organizações devem desenvolver manuais de resposta a incidentes personalizados especificamente para plataformas SaaS, como Salesforce, Slack e Google Workspace. Esses manuais devem descrever como identificar tokens OAuth comprometidos, conter a violação e notificar as partes interessadas afetadas. A automatização de partes desse processo, como notificações de violação e revogação de tokens, pode reduzir ainda mais os tempos de resposta.
Minimizar a exposição de dados
Os princípios de minimização de dados podem reduzir significativamente o impacto de uma violação de segurança. Isso é feito através da redação ou tokenização de campos sensíveis e da aplicação de políticas rigorosas de segurança. retenção Ao adotar políticas adequadas e remover dados obsoletos ou duplicados, as organizações podem limitar o "raio de impacto" quando uma integração é comprometida.
Construir uma cultura de conscientização
Funcionários e administradores precisam ser treinados para reconhecer comportamentos suspeitos de aplicativos, campanhas de phishing destinadas a roubar tokens OAuth e sinais de atividades incomuns em ambientes SaaS. As equipes de privacidade, TI, jurídico e segurança devem trabalhar em conjunto para estabelecer políticas e processos de governança que abranjam todo o ciclo de vida das integrações com terceiros e do compartilhamento de dados.
Como a BigID transforma lições em ação
A violação de segurança entre a SalesLoft e a Drift destaca uma mudança crítica: ferramentas de IA e automação podem introduzir riscos de escalabilidade significativos quando não são governadas. Não basta mais presumir que suas integrações são seguras ou que a revogação de tokens resolve tudo.
BigID oferece privacidade, segurança e Governança de IA Líderes precisam de uma plataforma que não apenas reage — ela prevê, previne e capacita, porque a verdadeira resiliência se constrói não apenas na defesa, mas também na compreensão do seu ecossistema de dados, onde quer que ele flua.
A BigID ajuda as organizações a colmatar estas lacunas, fornecendo inteligência e controlos que transformam a postura de segurança:
- Descubra e classifique: O BigID analisa o Salesforce e outros sistemas para identificar dados confidenciais (Informações pessoais identificáveis (PII), segredos, senhas, credenciais, chaves de API, registros de suporte) em fontes estruturadas e não estruturadas.
- Monitorar o risco de integração: Identifique e avalie os riscos em aplicativos de terceiros conectados ao ambiente Salesforce e outros sistemas SaaS que têm acesso a dados confidenciais.
- Controle de acesso com reconhecimento de identidade: Implante o monitoramento de acesso com reconhecimento de identidade para detectar logins incomuns, consultas de API em massa ou uso de tokens e corrija a superexposição em todo o seu Salesforce e ecossistema SaaS.
- Reduzir a superfície de ataque: Reduza os riscos de violação de dados e de segurança da IA removendo dados redundantes, sensíveis ou regulamentados para minimizar o impacto de uma violação de dados.
- Acelerar a resposta a incidentes: Fornecer relatórios transparentes sobre quais dados foram expostos, onde e quem teve acesso a eles, para cumprir as obrigações regulatórias e de notificação ao cliente.
Pronto para agir? Prepare-se para futuras ameaças aos seus dados agendando uma demonstração individual com nossos especialistas.
Autor
