Um ataque hacker de grande escala expôs dados de mais de 200 empresas que utilizam serviços do Salesforce, segundo o Google. O episódio gerou preocupação imediata porque a invasão começou por aplicativos usados simultaneamente por diversas companhias, abrindo caminho para um impacto muito mais amplo do que o habitual.
O grupo Scattered Lapsus$ Hunters assumiu a autoria da ação em mensagens divulgadas no Telegram, o que aumentou a tensão dentro do setor de tecnologia, explica o TechCrunch.
Como o ataque afetou tanta gente?
A sequência de eventos começou quando o Salesforce informou ter identificado uma violação envolvendo “certos clientes”, sem detalhar quem havia sido atingido. Mais tarde, descobriu-se que a brecha surgiu em aplicativos desenvolvidos pela Gainsight, empresa que fornece ferramentas de suporte e integrações com o próprio Salesforce.
Segundo Austin Larsen, analista do Google Threat Intelligence Group, mais de 200 contas pertencentes a diferentes empresas dentro da plataforma foram comprometidas. Pouco depois da divulgação inicial, o grupo Scattered Lapsus$ Hunters apareceu em um canal do Telegram reivindicando o ataque — algo confirmado pelo TechCrunch, que teve acesso às publicações.
Entre os nomes citados pelos hackers, a lista é extensa: Atlassian, CrowdStrike, DocuSign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters e Verizon.
O que o grupo fez para invadir as contas
De acordo com o ShinyHunters — uma das facções envolvidas —, o ataque explorou uma campanha anterior direcionada a clientes da Salesloft. Nessa operação anterior, tokens de autenticação do serviço de marketing Drift teriam sido roubados, permitindo acesso às contas do Salesforce conectadas a ele.
A Gainsight era cliente da Salesloft Drift, foi afetada e, portanto, totalmente comprometida por nós.
Porta-voz do Scattered Lapsus$ Hunters ao TechCrunch.
Empresas correm para responder – algumas negam impacto
Depois que o caso veio à tona, várias empresas se manifestaram. A CrowdStrike negou qualquer relação com o “problema da Gainsight” e afirmou que os dados de seus clientes permanecem protegidos.
Outras seguiram o mesmo caminho. A Verizon classificou as alegações dos hackers como “infundadas”. A Malwarebytes disse estar ciente da situação e conduzindo uma investigação. A Thomson Reuters adotou postura semelhante.
Leia mais:
Agentes de IA podem trabalhar para hackers — e nem sempre você percebe
China acusa EUA de ciberataque
Do carro ao supermercado: como hackers têm bagunçado a rotina no mundo
A Salesforce, por sua vez, enfatizou que não encontrou indícios de vulnerabilidade em sua própria plataforma. Já a Gainsight publicou uma página pública com atualizações e informou que está trabalhando com a Mandiant, unidade de resposta a incidentes do Google.
A empresa afirma que o ataque “se originou da conexão externa dos aplicativos” e que a análise forense completa ainda está em curso. Como medida preventiva, o Salesforce revogou temporariamente os tokens de acesso vinculados à Gainsight.
Quem são os Scattered Lapsus$ Hunters?
O nome pode soar familiar — e há motivo para isso. O grupo reúne membros de coletivos como ShinyHunters, Scattered Spider e Lapsus$, conhecidos por:
usar engenharia social para enganar funcionários;
obter acessos internos de alto privilégio;
explorar cadeias de fornecedores interligados;
extorquir empresas após o roubo de grandes volumes de dados.
Nos últimos anos, essas facções já atacaram companhias como MGM Resorts, Coinbase e DoorDash. Agora, afirmam que vão lançar um site de extorsão voltado especificamente às vítimas dessa nova ofensiva — repetindo a estratégia usada em campanhas anteriores.
O post Invasão em apps conectados ao Salesforce afeta mais de 200 empresas apareceu primeiro em Olhar Digital.
