Login
Close Menu
    Cibersegurança Destaques Notícias

    Hackers exploram brechas em integrações e impactam gigantes: o que aconteceu e como Salesforce, Gainsight e Google reagiram

    By 4 Mins Read

    Cadeia de terceiros da Salesforce vira porta de entrada para megavazamento: entenda o ataque e as respostas oficiais das empresas

    Um ataque cibernético de grande escala, confirmado pelo Google Threat Intelligence Group (GTIG), explorou vulnerabilidades em integrações de terceiros conectadas à plataforma da Salesforce, resultando no acesso indevido a dados corporativos de mais de 200 empresas.

    Como ocorreu o ataque

    Segundo a investigação do Google, os invasores não atacaram diretamente a infraestrutura da Salesforce, mas sim abusaram de tokens de autenticação (OAuth) vinculados a aplicativos externos. O primeiro alvo foi a Gainsight, uma ferramenta de suporte ao cliente que se conecta à Salesforce.

    OAuth é um protocolo que permite que um aplicativo acesse informações de outro serviço por meio de um token de autorização — sem uso de senha. Se um app integrado é comprometido, seus tokens podem ser usados como porta de entrada para outros sistemas conectados.

    Esse incidente se soma a outro ataque anterior: entre 8 e 18 de agosto de 2025, atores maliciosos identificados como “UNC6395” exploraram a integração entre a Salesloft (e seu aplicativo Drift) e a Salesforce para extrair grandes volumes de dados. Segundo o Google, os hackers conseguiram coletar credenciais sensíveis, como chaves de acesso AWS, senhas e tokens de Snowflake.

    Quem está por trás: Scattered Lapsus$ Hunters

    O coletivo responsável pelo ataque se apresenta sob o nome Scattered Lapsus$ Hunters, que inclui membros de grupos conhecidos como ShinyHunters, Scattered Spider e Lapsus$. Segundo o Google, mais de 200 instâncias da Salesforce podem estar comprometidas.

    Em um canal no Telegram, o grupo afirmou ter conseguido acessar dados de empresas como Atlassian, DocuSign, GitLab, LinkedIn, F5, SonicWall, Thomson Reuters e Verizon.

    No passado recente, o mesmo coletivo já havia criado um site de extorsão para vítimas de vazamentos via Salesloft, e agora anuncia a criação de uma nova página para forçar negociações com empresas atingidas pelo ataque à Gainsight.

    Quando o incidente foi revelado

    • A investigação do Google detectou atividade maliciosa envolvendo o Salesloft Drift já em agosto de 2025.
    • Em 20 de novembro de 2025, a Salesforce divulgou uma nota reconhecendo “atividade incomum” relacionada a aplicativos publicados pela Gainsight.
    • No dia 21 de novembro, o Google confirmou à imprensa o escopo da violação: centenas de instâncias possivelmente afetadas.

    Posicionamento oficial das empresas

    • Salesforce: afirmou que “não há indicação de que o problema tenha origem em vulnerabilidade da plataforma Salesforce” e que o ataque está relacionado às conexões externas desses apps. Em resposta, a empresa revogou todos os tokens ativos de acesso e refresh vinculados aos aplicativos da Gainsight e os removeu temporariamente da AppExchange até que a investigação avance.
    • Gainsight: comunicou que trabalha em conjunto com a Salesforce e com a equipe de resposta a incidentes da Mandiant (parceira do Google) para conduzir uma análise forense. A empresa afirma que a origem do incidente está em “conexão externa” e não em falha de seu próprio sistema.
    • Empresas citadas pelos hackers (como DocuSign): por exemplo, a DocuSign afirmou que, após uma investigação interna, não encontrou indícios de comprometimento de seus dados, mas tomou medidas preventivas, como a desativação das integrações com a Gainsight.

    O que está em jogo

    Esse incidente reforça uma tendência crescente nos ataques cibernéticos corporativos: a exploração de cadeias de terceiros, em vez de ataques diretos à plataforma principal. Conforme especialistas citados por fontes de segurança, os invasores estão cada vez mais mirando nas integrações OAuth legadas, que oferecem um ponto de entrada privilegiado para ambientes sensíveis.

    Para empresas que utilizam sistemas SaaS complexos, esse tipo de ataque representa um alerta para revisar rigorosamente todos os aplicativos integrados, tokens ativos, permissões OAuth e práticas de segurança em seus ambientes de nuvem.

    Protocolo OAuth: Arquitetura, Criptografia, Vetores de Risco e Preparação para a Era Quântica

    Estudo Inédito da Cadastra e Similarweb Revela a Redefinição das Buscas

    Professor da USP afirma: IA é a nova moeda de troca da Black Friday

    O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.

    Conheça a coluna Cibersegurança.

    Cibersegurança

    Estar no CRYPTO ID é mostrar sua marca para quem precisa proteger dados e identidade e sabe que investir em cibersegurança é essencial no mundo digital. Somos a mídia número um em soluções de tecnologia voltadas para identificação humana e não humana (NHIs). Entregamos muito mais que visibilidade: entregamos contexto, conteúdo e credibilidade. Nossa equipe atua em parceria com sua área de marketing e negócios, conectando a estratégia de comunicação da sua empresa para os melhores resultados de vendas.

    Fale com a gente: +55 11 9 9286 7046 ou contato@cryptoid.com.br

    Compartilhe:

    Produzido por: Insania

    © 2014  CryptoID. Todos os direitos reservados.

    Fique sempre informado sobre tudo o que acontece.

      Área de atuação*

      Nível de experiência*

      Isso vai fechar em 0 segundos

      X