MFA2GO
Menu Mobile
Voltar ao início do blog

Organizações no Salesforce atacadas por OAuth: proteja seus acessos

A crescente integração entre plataformas SaaS pode trazer conveniência, mas também abre brechas que ameaças avançadas exploram. Uma operação recente chamou a atenção: centenas de organizações usuárias do Salesforce foram atacadas via tokens OAuth, com possível impacto massivo.

De acordo com o Help Net Security, o grupo UNC6395, rastreado por equipes da Google Threat Intelligence, extraiu dados sensíveis — como chaves AWS (AKIA), senhas e tokens de acesso ao Snowflake — de instâncias Salesforce de diversas empresas. A forma de acesso ocorreu por meio de um token OAuth comprometido do Salesloft Drift, ferramenta de chat com IA integrada ao Salesloft CRM. Entre 8 e 18 de agosto de 2025, os invasores usaram esse token para executar consultas em objetos como Cases, Accounts, Users e Opportunities, coletando informações valiosas 

Para conter o ataque, em 20 de agosto de 2025, a Salesloft, em parceria com a Salesforce, revogou todos os tokens relacionados ao Drift e retirou o aplicativo do AppExchange enquanto investigavam o incidente. Importante destacar que a plataforma principal do Salesforce não foi comprometida 

Organizações afetadas foram orientadas a:

  • Revisar logs — mesmo com tentativas de apagar rastros, os registros permanecem disponíveis 

  • Revogar e girar credenciais expostas;

  • Verificar se essas credenciais foram usadas para se mover lateralmente a outros sistemas SaaS ou nuvem 

Segundo Cory Michal, CSO da AppOmni, o modus operandi do ataque mostra “escala e disciplina” — e pode indicar atuação de um ator estatal visando explorar relações de confiança entre fornecedores e clientes de tecnologia. Ele recomenda adotar uma abordagem proativa com governança rigorosa de integrações SaaS, auditoria contínua de logs, enriquecimento com inteligência de ameaças e detecção de atividades anômalas 

Dica de prevenção

Implemente governança sobre integrações SaaS com procedimentos claros como:

  • Revisão periódica de tokens OAuth e autorizações conectadas;

  • Políticas zero-trust, limitando permissões apenas ao necessário;

  • Monitoramento contínuo de logs com indicadores de risco (User-Agent suspeito, IP não reconhecido);

  • Treinamento consciente sobre riscos de OAuth e interações com apps de terceiros.

Utilizar ferramentas que centralizam esse controle e visibilidade é essencial. Além disso, autenticação multifator é uma camada adicional indispensável para proteger acessos críticos — conheça como o MFA Vault pode fortalecer essa defesa com eficiência. Saiba mais em mfa2go.com

Compartilhe nas redes sociais:

Cadastre-se em nossa Newsletter semanal*

Autenticação multifator e criptografia de ponta a ponta é com a MFA2GO

CONHEÇA A MFA2GO

Conteúdos relacionados

25 de Agosto de 2025

Entenda o ataque à DaVita e como proteger seus dados
25 de Agosto de 2025

Apps bancários ampliam proteção: saiba como ativar os recursos
08 de Setembro de 2025

Descubra como proteger seus dados de compras online