O recente incidente envolvendo a integração Drift da Salesloft expôs uma perigosa falha na cadeia de suprimentos de SaaS. A exploração começou com a invasão da conta GitHub da Salesloft entre março e junho de 2025, quando os atacantes baixaram código de repositórios, adicionaram um usuário convidado e criaram fluxos automatizados, obtendo acesso às configurações internas de builds e automações da plataforma. Somente após esses acessos, os invasores passaram a explorar o ambiente Drift e sua infraestrutura AWS para roubar tokens OAuth, que permitiram acesso às instâncias Salesforce dos clientes — muitas vezes com dados confidenciais de suporte, clientes e credenciais — em um ataque rastreado pelo grupo UNC6395
Diversas organizações confirmaram ter sido afetadas. Entre elas, nomes de peso como Cloudflare, Zscaler, Palo Alto Networks, Elastic e Bugcrowd, que relataram vazamento de informações de casos de suporte, contatos comerciais e dados de clientes. Investigadores da Mandiant e da Salesforce confirmaram que o ambiente da Salesloft vazou, mas que o incidente foi contido e que as integrações entre Salesloft e Drift foram isoladas, devidamente corrigidas e reconfiguradas
Dica de Prevenção
Revise todas as integrações SaaS em seu ambiente com urgência. Revogue e rotacione tokens OAuth ou credenciais de acesso ao Drift, Salesforce ou outras plataformas conectadas; audite logs de autenticação e eventos de API em busca de atividades suspeitas; segmente e isole ambientes críticos para limitar impactos; e adote o princípio do menor privilégio (least privilege) em todas as conexões. Considere também monitoramento contínuo para detecção de atividades fora do padrão, como criação de usuários não autorizados ou fluxos automatizados incomuns.
Conclusão
O caso Drift/Salesloft evidencia o risco elevado das integrações SaaS amplamente confiáveis: uma invasão inicial pode se propagar e comprometer dados sensíveis de maneira silenciosa. Fortaleça suas integrações, monitore acessos e adote controles rigorosos desde o primeiro dia. Para reforçar sua segurança de autenticação e acesso em toda sua infraestrutura SaaS, conheça o MFA Vault. Acesse mfa2go.com para saber mais.