A segurança digital voltou ao centro das atenções após o Google confirmar que hackers roubaram dados armazenados no Salesforce pertencentes a mais de 200 empresas. O incidente, considerado um ataque de grande escala na cadeia de suprimentos, levanta novas preocupações sobre vazamentos envolvendo plataformas amplamente utilizadas no mundo corporativo.
Como o ataque começou: a falha na Gainsight
Na quinta-feira, a Salesforce revelou que dados de “certos clientes” foram comprometidos. Embora não tenha divulgado nomes, a empresa confirmou que a invasão ocorreu por meio de aplicativos desenvolvidos pela Gainsight, que oferece soluções de suporte ao cliente para diversas organizações.
O Google, por meio de seu grupo interno de inteligência de ameaças, afirmou estar ciente de mais de 200 instâncias do Salesforce potencialmente afetadas, mostrando a dimensão do ataque.
Quem está por trás do ataque?
Pouco após o anúncio, o grupo de hackers Scattered Lapsus$ Hunters — que reúne gangues como ShinyHunters e Lapsus$ — assumiu a responsabilidade. Em um canal no Telegram, o grupo listou supostos alvos, incluindo empresas como:
- Atlassian
- CrowdStrike
- Docusign
- F5
- GitLab
- Malwarebytes
- SonicWall
- Thomson Reuters
- Verizon
Apesar disso, o Google não comentou quais empresas foram especificamente atingidas.
O que as empresas dizem sobre o incidente
As respostas das empresas variam bastante:
CrowdStrike
A empresa declarou não ter sido afetada, reforçando que seus dados continuam seguros. No entanto, confirmou ter desligado um “colaborador suspeito” por possível envolvimento.
Verizon
A operadora disse estar ciente das alegações, mas não apresentou evidências de comprometimento.
Malwarebytes e Thomson Reuters
Ambas confirmaram estar investigando o caso.
Docusign
A empresa afirmou não ter encontrado indícios de vazamento, mas suspendeu preventivamente todas as integrações com a Gainsight.
Outras empresas mencionadas ainda não comentaram o assunto.
Como os hackers conseguiram acesso?
Segundo membros do grupo ShinyHunters, o ataque atual está ligado a uma invasão anterior. Eles afirmam ter obtido acesso à Gainsight devido a falhas de segurança relacionadas ao Salesloft Drift, uma plataforma de marketing baseada em IA.
O grupo afirma que:
- roubou tokens de autenticação do Drift;
- usou esses tokens para acessar contas do Salesforce das empresas atacadas;
- baixou grandes volumes de dados dessas contas;
- comprometeu completamente a Gainsight no processo.
A Gainsight havia confirmado anteriormente ter sido vítima desse ataque inicial.
Salesforce se afasta da responsabilidade
A Salesforce reforçou que não há evidências de falhas na sua plataforma, indicando que o incidente veio exclusivamente das conexões externas dos aplicativos da Gainsight.
Como medida preventiva, a empresa revogou tokens ativos de acesso usados por aplicativos integrados da Gainsight, enquanto notifica os clientes afetados.
Gainsight investiga o incidente com apoio da Mandiant
A Gainsight publicou atualizações sobre o caso, informando que:
- está trabalhando com a equipe de resposta a incidentes da Google/Mandiant;
- o ataque se originou das conexões externas dos aplicativos, não do Salesforce;
- uma análise forense completa está em andamento.
Extorsão e novos ataques: o próximo passo dos hackers
No Telegram, o grupo Scattered Lapsus$ Hunters anunciou planos para lançar um site de extorsão destinado às vítimas — algo que já fez em campanhas anteriores. Essa estratégia tem se tornado comum entre grupos especializados em engenharia social, que buscam pressionar empresas a pagar para evitar vazamento de dados.
Quem são os Scattered Lapsus$ Hunters?
O grupo é formado por diversos criminosos digitais que utilizam técnicas de:
- engenharia social,
- manipulação psicológica de funcionários,
- acesso indevido a sistemas internos.
Entre as vítimas recentes dessas organizações estão empresas como MGM Resorts, Coinbase e DoorDash, evidenciando sua capacidade de atacar alvos de alto perfil.
Um alerta urgente para empresas de todos os portes
O ataque envolvendo Gainsight, Salesforce e mais de 200 empresas mostra como cadeias de suprimentos digitais são vulneráveis. Mesmo quando a plataforma principal está segura, integrações externas podem abrir portas para invasores experientes.
Para empresas que dependem de serviços em nuvem, o recado é claro:
- revisar integrações externas,
- reforçar autenticações,
- monitorar atividades suspeitas,
- investir em segurança baseada em comportamento.
