Imagine confiar em um chatbot de IA — como o Drift — para otimizar suas interações com os clientes. Agora imagine que o bot se torne o trampolim para hackers se infiltrarem nos seus sistemas Salesforce. Esse cenário aconteceu com centenas de organizações neste verão.
Em meados de agosto, uma onda de violações teve como alvo instâncias do Salesforce por meio de tokens OAuth roubados emitidos para o SalesLoft–Drift integração. O ataque estava ligado a Caçadores Brilhantes, conhecido por ter como alvo grandes empresas, que usavam esses tokens para desviar dados discretamente — desde contatos de clientes e registros de casos de suporte até credenciais e notas internas de plataformas como Cloudflare, Palo Alto Networks, Zscaler, SpyCloud e outras.
Esta violação não foi uma falha isolada — foi um alerta massivo. A violação impactou os líderes de segurança cibernética de vários fornecedores. O Google relatou que as falhas se estenderam aos afetados. Espaço de trabalho do Google contas e equipes de segurança se esforçaram para combater uma onda crescente de phishing direcionado, preenchimento de credenciais e campanhas de ataques laterais.
A violação destaca uma dura verdade: à medida que os ecossistemas SaaS se tornam mais interconectados, as organizações precisam saber exatamente onde residem os dados e credenciais confidenciais. quem tem acesso, e como os invasores podem explorar essas conexões.
Causas-raiz da violação do Salesloft Drift
1. Acesso confiável de terceiros sem supervisão
Os atacantes não se infiltraram nos sistemas através da força bruta; eles aproveitaram Tokens OAuth associados à integração de chat SalesLoft–Drift. Esses tokens atuavam como chaves mestras para instâncias do Salesforce de mais de 700 organizações, concedendo acesso elevado e não monitorado a dados críticos. Sem controle centralizado ou visibilidade sobre aplicativos de terceiros, as organizações não tinham conhecimento em tempo real de quem estava vendo o quê. Essa integração confiável tornou-se uma vulnerabilidade que foi explorada como vetor de ataque.
2. Exfiltração não autorizada de dados em massa
Uma vez lá dentro, os invasores agiram de forma rápida e organizada. Os invasores realizaram exportações massivas de dados, incluindo Contas, Contatos, Casos e Oportunidades, por meio de API em massa 2.0 do Salesforce em menos de três minutos. Em seguida, eles apagaram ativamente os registros de consulta para ocultar seus rastros. Este manual demonstra um alto grau de automação e furtividade, exemplificando um modelo de exfiltração como serviço.
3. Reconhecimento lento de danos
Muitas empresas só perceberam a violação após a revogação do acesso. A Salesforce e a SalesLoft tiveram que desativar completamente a integração e revogar os tokens. Só então começaram as revisões de visibilidade e logs. Àquela altura, os invasores já haviam coletado credenciais e dados confidenciais, o que poderia alimentar novos ataques.
4. Falta de insights de acesso pós-incidente
Mesmo após a descoberta da violação, as organizações tiveram dificuldade para determinar quais dados exatos foram roubados, quais usuários foram afetados e onde as operações de token ocorreram. Sem essa visibilidade e inteligência de dados, o controle lateral de danos — como rotação de tokens, notificação de usuários e triagem jurídica — é lento e fragmentado.
O que as organizações devem fazer para combater esse tipo de violação
As integrações fortalecem as plataformas SaaS, mas também introduzem novos riscos. Para reduzir a probabilidade de uma violação como a do incidente Salesloft-Drift, as equipes de segurança devem:
Fortaleça a segurança da integração SaaS
Tokens OAuth e integrações de aplicativos de terceiros representam uma superfície de ataque oculta. As organizações devem auditar regularmente quais aplicativos estão conectados a plataformas como o Salesforce, avaliar quais escopos e acessos a dados foram concedidos a eles e remover quaisquer integrações desnecessárias ou inativas.
Avalie os recursos de segurança de terceiros
Forte diligência do fornecedor é igualmente essencial; as empresas devem exigir que os fornecedores sigam práticas de segurança robustas, sejam submetidos a revisões periódicas e forneçam evidências de conformidade com padrões reconhecidos, como ISO 27001 ou SOC 2.
Melhore a visibilidade e o monitoramento de dados
Violações de dados muitas vezes passam despercebidas por semanas porque as organizações não têm visibilidade sobre como os dados estão sendo acessados e movidos. As empresas devem adotar descoberta e monitoramento automatizados soluções que catalogam fluxos de dados de entrada e saída de plataformas SaaS, detectam anomalias como exportações em massa ou consultas não padronizadas e sombra de bandeira IA ou uso não autorizado do aplicativo.
Aplique controles fortes de identidade e acesso
Ataques baseados em OAuth exploram controles de acesso fracos. Para mitigar esses riscos, as organizações devem implementar Confiança zero Princípios de segurança, limitando o acesso com base na função, no contexto e na integridade do dispositivo. As equipes de segurança devem configurar tokens OAuth com políticas de expiração, rotacioná-los com frequência e revogá-los automaticamente quando atividades suspeitas forem detectadas. A autenticação multifator (MFA) deve ser obrigatória em todas as contas privilegiadas, e a autenticação adaptável pode ajudar a bloquear o acesso de locais ou dispositivos incomuns.
Fortalecer a prontidão para resposta a incidentes
As organizações devem desenvolver manuais de resposta a incidentes personalizados, especificamente para plataformas SaaS, como Salesforce, Slack e Google Workspace. Esses manuais devem descrever como identificar tokens OAuth comprometidos, conter a violação e notificar as partes interessadas afetadas. Automatizar partes desse processo, como notificações de violação e revogação de tokens, pode reduzir ainda mais os tempos de resposta.
Minimize a exposição de dados
Os princípios de minimização de dados podem reduzir significativamente o impacto de uma violação. Ao redigir ou tokenizar campos sensíveis, aplicando controles rigorosos retenção políticas e removendo dados obsoletos ou duplicados, as organizações podem limitar o “raio de explosão” quando uma integração é comprometida.
Crie uma cultura de conscientização
Funcionários e administradores precisam ser treinados para reconhecer comportamentos suspeitos em aplicativos, campanhas de phishing projetadas para roubar tokens OAuth e sinais de atividades incomuns em ambientes SaaS. As equipes de privacidade, TI, jurídica e segurança devem trabalhar em colaboração para estabelecer políticas e processos de governança que abranjam todo o ciclo de vida das integrações de terceiros e do compartilhamento de dados.
Como o BigID transforma lições em ações
A violação da SalesLoft-Drift destaca uma mudança crítica: ferramentas de IA e automação podem introduzir riscos de escala significativos quando não são governadas. Não basta mais presumir que suas integrações são seguras ou que a revogação de tokens resolve tudo.
BigID oferece privacidade, segurança e Governança de IA líderes, uma plataforma que não apenas reage, mas também prevê, previne e capacita, porque a verdadeira resiliência é construída não apenas na defesa, mas na compreensão do seu ecossistema de dados onde quer que ele flua.
A BigID ajuda as organizações a fechar essas lacunas fornecendo inteligência e controles que transformam a postura de segurança:
- Descubra e classifique: O BigID verifica o Salesforce e outros sistemas para identificar dados confidenciais (PII, segredos, senhas, credenciais, chaves de API, logs de suporte) em fontes estruturadas e não estruturadas.
- Monitorar o risco de integração: Descubra e avalie riscos em aplicativos de terceiros conectados ao ambiente Salesforce e outros sistemas SaaS que têm acesso a dados confidenciais.
- Controle de acesso com reconhecimento de identidade: Implante o monitoramento de acesso com reconhecimento de identidade para detectar logins incomuns, consultas de API em massa ou uso de token e corrigir a superexposição em seu Salesforce e no ecossistema SaaS.
- Reduza a superfície de ataque: Reduza o risco de violações e de segurança da IA removendo dados redundantes, confidenciais ou regulamentados para reduzir o impacto de uma violação de dados.
- Acelere a resposta a incidentes: Forneça relatórios transparentes sobre quais dados foram expostos, onde e quem os acessou para atender às obrigações regulatórias e de notificação ao cliente.
Pronto para agir? Esteja preparado para futuras ameaças de dados agendando uma demonstração individual com nossos especialistas.
Autor
