Google Alerta Organizações Sobre Roubo de Dados do Salesforce

Organizações que utilizam o Salesforce podem ter tido dados sensíveis roubados após hackers invadirem o Salesloft, a plataforma de automação de vendas por trás da integração do chat Drift AI.

O Grupo de Inteligência de Ameaças do Google (GTIG), em conjunto com a Salesloft, noticiou que o ataque ocorreu entre 8 e 18 de agosto de 2025. Os invasores, rastreados como UNC6395, executaram a violação usando tokens OAuth e de atualização roubados do aplicativo Drift. penetrando em várias plataformas Salesforce.

“Descobertas iniciais mostraram que o principal objetivo do ator era roubar credenciais, focando especificamente em informações sensíveis como chaves de acesso AWS, senhas e tokens de acesso relacionados ao Snowflake”, afirmou uma consultoria da Salesloft declarou.

Os invasores executaram sistematicamente consultas em objetos Salesforce, incluindo Casos, Contas, Usuários e Oportunidades.

A GTIG observou: “UNC6395 demonstrou consciência de segurança operacional ao excluir tarefas de consulta, entretanto, os registros não foram afetados e as organizações ainda devem revisar os registros relevantes em busca de evidências de exposição de dados.”

BleepingComputer explica que os atacantes esconderam sua infraestrutura através do Tor, bem como com serviços de hospedagem na nuvem, como AWS e DigitalOcean.

A resposta às medidas de segurança pela Salesloft e Salesforce incluiu o cancelamento de todos os tokens ativos do Drift, bem como a remoção temporária do aplicativo do Salesforce AppExchange.

Os clientes precisam reautenticar suas contas e alterar suas credenciais de login. O Google aconselha as organizações a verificar os objetos Salesforce para chaves AWS, juntamente com as credenciais do Snowflake, senhas e URLs de login VPN. A equipe administrativa também deve implementar o bloqueio de IP, restringir os privilégios do aplicativo e monitorar a atividade de autenticação.

Embora alguns relatórios sugiram ligações com o grupo de extorsão ShinyHunters, o Google não encontrou evidências que os conectem. “Não vimos nenhuma evidência convincente que os conecte neste momento”, disse Austin Larsen, Analista Principal de Ameaças na GTIG.

BleepingComputer argumenta que o ataque faz parte de uma onda mais ampla de ataques em que o Salesforce é alvo através de ataques de engenharia social que enganam os funcionários para autorizar aplicações perigosas.

Organizações de alto perfil relataram recentemente violações relacionadas, incluindo Google, Cisco, Adidas e Louis Vuitton.

As organizações que implementam a integração Drift-Salesforce devem tratar seus dados como comprometidos e executar procedimentos de remediação imediatos para defender seus sistemas de roubos adicionais.