Código HTML do Conteúdo
Post: ShinyHunters afirma que 1,5 bilhão de registros do Salesforce foram roubados em hacks do Drift - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<p>O grupo de extorsão ShinyHunters afirma ter roubado mais de 1,5 bilhão de registros do Salesforce de 760 empresas usando tokens Salesloft Drift OAuth comprometidos.</p>
<p>No ano passado, os agentes de ameaças foram <a href="https://www.bleepingcomputer.com/news/security/google-hackers-target-salesforce-accounts-in-data-extortion-attacks/" rel="nofollow noopener" target="_blank">visando clientes do Salesforce em ataques de roubo de dados</a> usando engenharia social e aplicativos OAuth maliciosos para violar instâncias do Salesforce e baixar dados. Os dados roubados são usados para extorquir as empresas a pagar um resgate para evitar que os dados vazem publicamente.</p>
<p>Esses ataques foram reivindicados por agentes de ameaças afirmando que fazem parte dos grupos de extorsão ShinyHunters, Scattered Spider e Lapsus$, agora se autodenominando “Scattered Lapsus$ Hunters”. O Google rastreia essa atividade comoUNC6040 e UNC6395.</p>
<p>Em março, um dos agentes de ameaças <a href="https://www.bleepingcomputer.com/news/security/salesloft-march-github-repo-breach-led-to-salesforce-data-theft-attacks/" rel="nofollow noopener" target="_blank">violou o repositório GitHub do Salesloft</a>, que continha o código-fonte privado da empresa.</p>
<p>ShinyHunters disse ao BleepingComputer que os agentes de ameaças usaram o <a href="https://github.com/trufflesecurity/trufflehog" rel="nofollow noopener" target="_blank">Porco Trufado</a> ferramenta de segurança para escanear o código-fonte em busca de segredos, o que resultou na descoberta de tokens OAuth para as plataformas Salesloft Drift e Drift Email.</p>
<p>SalesloftDrift é uma plataforma de terceiros que conecta o agente de bate-papo Drift AI a uma instância do Salesforce, permitindo que as organizações sincronizem conversas, leads e casos de suporte em seu CRM. O Drift Email é usado para gerenciar respostas de e-mail e organizar bancos de dados de CRM e automação de marketing.</p>
<p>Usando esses tokens Drift OAuth roubados, ShinyHunters disse ao BleepingComputer que os agentes de ameaças roubaram aproximadamente 1,5 bilhão de registros de dados de 760 empresas do “<a href="https://help.salesforce.com/s/articleView?id=commerce.om_account_fields.htm&type=5" rel="nofollow noopener" target="_blank">Conta</a>“, “<a href="https://help.salesforce.com/s/articleView?id=commerce.om_contact_fields.htm&language=en_US&type=5" rel="nofollow noopener" target="_blank">Contato</a>“, “<a href="https://help.salesforce.com/s/articleView?id=sfdo.cm_data_dictionary.htm&language=en_US&type=5" rel="nofollow noopener" target="_blank">Caso</a>“, “<a href="https://help.salesforce.com/s/articleView?id=sfdo.eda_opportunity.htm&language=en_US&type=5" rel="nofollow noopener" target="_blank">Oportunidade</a>“, e “<a href="https://help.salesforce.com/s/articleView?id=platform.user_fields.htm&type=5&utm_source=chatgpt.com" rel="nofollow noopener" target="_blank">Utilizador</a>” Tabelas de objetos do Salesforce.</p>
<p>Desses registros, aproximadamente 250 milhões eram da Conta, 579 milhões do Contato, 171 milhões do Opportunity, 60 milhões do Usuário e cerca de 459 milhões de registros das tabelas Case Salesforce.</p>
<p>A tabela Case foi usada para armazenar informações e textos de tickets de suporte enviados por clientes dessas empresas, que, para empresas de tecnologia, podem incluir dados confidenciais.</p>
<p>Como prova de que eles estavam por trás do ataque, o agente da ameaça compartilhou um arquivo de texto listando as pastas de código-fonte no repositório GitHub do Salesloft violado.</p>
<p>O BleepingComputer entrou em contato com a Salesloft com perguntas sobre essas contagens de registros e o número total de empresas afetadas, mas não recebeu uma resposta ao nosso e-mail. No entanto, uma fonte confirmou que os números são precisos.</p>
<p>O Google Threat Intelligence (Mandiant) informou que os dados roubados do caso foram analisados em busca de segredos ocultos, como credenciais, tokens de autenticação e chaves de acesso, para permitir que os invasores se voltassem para outros ambientes para novos ataques.</p>
<p>“Depois que os dados foram exfiltrados, o ator pesquisou os dados para procurar segredos que pudessem ser usados para comprometer os ambientes das vítimas”, <a href="https://cloud.google.com/blog/topics/threat-intelligence/data-theft-salesforce-instances-via-salesloft-drift?e=48754805" rel="nofollow noopener" target="_blank">explicou o Google</a>.</p>
<p>“O GTIG observou UNC6395 visando credenciais confidenciais, como chaves de acesso (AKIA) da Amazon Web Services (AWS), senhas e tokens de acesso relacionados ao Snowflake.”</p>
<p>Os tokens roubados Drift e Drift Email foram usados em campanhas de roubo de dados em larga escala que atingiram grandes empresas, incluindo <a href="https://www.bleepingcomputer.com/news/security/google-warns-salesloft-breach-impacted-some-workspace-accounts/" rel="nofollow noopener" target="_blank">Pesquise no Google</a>,<a href="https://www.bleepingcomputer.com/news/security/cloudflare-hit-by-data-breach-in-salesloft-drift-supply-chain-attack/" rel="nofollow noopener" target="_blank">Cloudflare</a>,<a href="https://www.bleepingcomputer.com/news/security/zscaler-data-breach-exposes-customer-info-after-salesloft-drift-compromise/" rel="nofollow noopener" target="_blank">Zscaler</a>,<a href="https://www.tenable.com/blog/tenable-response-to-salesforce-and-salesloft-drift-incident" rel="nofollow noopener" target="_blank">Sustentável</a>,<a href="https://www.cyberark.com/resources/blog/salesloft-drift-incident-overview-and-cyberarks-response" rel="nofollow noopener" target="_blank">CyberArk</a>,<a href="https://www.elastic.co/blog/elastic-update-salesloft-drift-security-incident" rel="nofollow noopener" target="_blank">Elástico</a>,<a href="https://www.beyondtrust.com/trust-center/security-advisories/salesforce-salesloft-drift-security-incident" rel="nofollow noopener" target="_blank">Além da confiança</a>,<a href="https://www.proofpoint.com/us/blog/corporate-news/salesloft-drift-supply-chain-incident-response" rel="nofollow noopener" target="_blank">Ponto de prova</a>,<a href="https://jfrog.com/help/r/salesforce-data-incident-identified-linked-to-third-party-salesloft-drift/salesforce-data-incident-identified-linked-to-third-party-salesloft-drift" rel="nofollow noopener" target="_blank">JFrog</a>,<a href="https://www.nutanix.com/blog/third-party-salesloft-drift-application-incident-response-our-impact-and-action" rel="nofollow noopener" target="_blank">Nutanix</a>,<a href="https://blog.qualys.com/misc/2025/09/06/salesloft-drift-supply-chain-incident" rel="nofollow noopener" target="_blank">Qualys</a>,<a href="https://www.rubrik.com/blog/company/25/salesforce-connected-third-party-drift-application-supply-chain-incident-response" rel="nofollow noopener" target="_blank">Rubrik</a>,<a href="https://www.catonetworks.com/blog/cato-networks-statement-on-salesforce-salesloft-drift-incident/" rel="nofollow noopener" target="_blank">Redes Cato</a>,<a href="https://www.bleepingcomputer.com/news/security/palo-alto-networks-data-breach-exposes-customer-info-support-cases/" rel="nofollow noopener" target="_blank">Redes de Palo Alto</a>e<a href="https://www.driftbreach.com/" rel="nofollow noopener" target="_blank">muitos mais</a>.</p>
<p>Devido ao grande volume desses ataques, o <a href="https://www.bleepingcomputer.com/news/security/fbi-warns-of-unc6040-unc6395-hackers-stealing-salesforce-data/" rel="nofollow noopener" target="_blank">O FBI divulgou recentemente um comunicado</a> alertando sobre o UNC6040 eAgentes de ameaças UNC6395, compartilhando IOCs descobertos durante os ataques.</p>
<p>Na quinta-feira passada, os agentes de ameaças que afirmam fazer parte do Scattered Spider afirmaram que planejavam “escurecer” e parar de discutir operações no Telegram.</p>
<p>Em uma postagem de despedida, os agentes de ameaças alegaram ter violado o sistema de solicitação de aplicação da lei (LERS) do Google, que é usado pela aplicação da lei para emitir solicitações de dados, e a plataforma eCheck do FBI, usada para realizar verificações de antecedentes.</p>
<p>Depois de entrar em contato com o Google sobre essas alegações, a empresa confirmou que <a href="https://www.bleepingcomputer.com/news/security/google-confirms-fraudulent-account-created-in-law-enforcement-portal/" rel="nofollow noopener" target="_blank">uma conta fraudulenta foi adicionada à sua plataforma LERS</a>.</p>
<p>“Identificamos que uma conta fraudulenta foi criada em nosso sistema para solicitações de aplicação da lei e desativamos a conta”, disse o Google ao BleepingComputer.</p>
<p>“Nenhuma solicitação foi feita com esta conta fraudulenta e nenhum dado foi acessado.”</p>
<p>Embora os agentes de ameaças tenham indicado que estão se aposentando, pesquisadores de <a href="https://reliaquest.com/blog/threat-spotlight-shinyhunters-data-breach-targets-salesforce-amid-scattered-spider-collaboration/" rel="nofollow noopener" target="_blank">ReliaQuest</a> relatam que os agentes de ameaças começaram a atacar instituições financeiras em julho de 2025 e provavelmente continuarão realizando ataques.</p>
<p>Para se proteger contra esses ataques de roubo de dados, <a href="https://www.salesforce.com/blog/protect-against-social-engineering/" rel="nofollow noopener" target="_blank">A Salesforce recomenda</a> que os clientes sigam as práticas recomendadas de segurança, incluindo a habilitação da autenticação multifator (MFA), a aplicação do princípio do menor privilégio e o gerenciamento cuidadoso dos aplicativos conectados.</p>
<p><a href="https://hubs.li/Q03B5Kw_0" rel="noopener sponsored" target="_blank"><br />
<img decoding="async" alt="Relatório Picus Blue 2025" src="https://datalake.azaeo.com/wp-content/uploads/2025/08/blue-report-2025.jpg"><br />
</a>
</p>
</div></div>