O incidente de segurança envolvendo a Salesloft teve início com o comprometimento da conta GitHub da empresa, que servia ao aplicativo Drift. Entre março e junho de 2025, o grupo identificado como UNC6395 teve acesso a diversos repositórios, adicionou usuários convidados e estabeleceu workflows maliciosos
Durante esse período, atividades de reconhecimento foram realizadas tanto nos ambientes da Salesloft quanto do Drift. Posteriormente, os invasores conseguiram acessar o ambiente AWS do Drift e obtiveram tokens OAuth de clientes — usados para acessar dados via integrações do Drift
A Salesloft reagiu isolando toda a infraestrutura, aplicativo e código do Drift. Em 5 de setembro de 2025, às 6h ET, o aplicativo foi levado offline. Credenciais foram rotacionadas, e foram implementadas medidas de segmentação mais rígidas entre os sistemas da Salesloft e do Drift
A recomendação da empresa é que todos os apps de terceiros integrados ao Drift revoguem imediatamente as chaves API existente. A Salesforce, por sua vez, restabeleceu as integrações com a plataforma Salesloft em 7 de setembro de 2025, mas deixou o Drift ainda desativado enquanto as ações de resposta continuam
Esse episódio evidencia como integrações via OAuth podem se tornar vetores críticos em ataques de cadeia de suprimentos (supply‑chain). A utilização de contas de repositório comprometidas para acessar ambientes de produção mostra que vulnerabilidades em ferramentas de desenvolvimento podem induzir efeitos em larga escala nas operações de múltiplas empresas.
Dica de prevenção
Garanta segmentação adequada entre ambientes de desenvolvimento e produção. Use autenticação reforçada (como chave SSH e MFA) para repositórios GitHub. Revise e limite workflows e acessos automatizados. Rote tokens OAuth com prazo de validade curto e monitore uso atípico. Tenha planos de resposta rápida com revogação automática de credenciais em caso de suspeita.
Esse incidente mostra como brechas em integrações podem criar enormes riscos para empresas interconectadas. Manter segregação, monitoramento e políticas rígidas de autenticação é essencial para reduzir danos. Para proteger ainda mais seus fluxos de trabalho sensíveis, conheça o MFA Vault, uma solução que reforça e centraliza a segurança dos seus acessos ao código: mfa2go.com
Compartilhe nas redes sociais:
