Diversas companhias de Cibersegurança globais informaram, por meio de comunicados publicados em seus blogs informativos, que parte de seus dados internos foram impactados por um incidente cibernético contra a provedora de Comercial Relationship Management (CRM) Salesforce. Entre as companhias assumidamente afetadas estão Cloudflare, Zscaler e Palo Alto Networks.
O ciberataque teria se originado, segundo explicam as companhias e uma análise feita pelo time de Threat Intelligence do Google, a partir de um parceiro terceirizado de serviços de chatbot da companhia, a Salesloft. Essa empresa é responsável por gerenciar a plataforma Drift, que atua como ferramenta de comunicação automatizada com os clientes, enquanto coleta registros específicos para sincronizá-los diretamente à plataforma da Salesforce.
Por meio dessa invasão, ainda sem detalhes específicos, um agente hostil foi capaz de acessar os dados mantidos no Salesloft Drift. De acordo com o monitoramento do Google, o cibercriminoso conseguiu exportar grandes volumes de dados de inúmeras corporações parceiras da Salesforce, com o objetivo primário de recolher credenciais de acesso ainda ativas para, em seguida, buscar comprometer os ambientes das vítimas.
Entre as empresas que se posicionaram a respeito da ocorrência estão a Palo Alto Networks, Zscaler e Cloudflare. Em comunicados divulgados em seus portais oficiais, as fornecedoras de Cibersegurança asseguraram que seus produtos e serviços não foram afetados. Além disso, todos os dados comprometidos estão especialmente relacionados a contatos comerciais comumente disponíveis como pontos de contato.
Como medida de Segurança, tanto a Salesforce quanto as três companhias suspenderam momentaneamente a integração com o Salesloft Drift. Da mesma forma, um amplo monitoramento foi aberto em todas elas, com o objetivo de se prepararem para eventuais campanhas de phishing a partir das informações vazadas. Processos de rotação de credenciais também estão em curso nas organizações.
“À medida que ferramentas de terceiros se integram cada vez mais aos dados internos das empresas, precisamos abordar cada nova solução com cuidado. Esse incidente afetou centenas de organizações por um único ponto de integração, destacando os riscos interconectados no cenário tecnológico atual. Estamos comprometidos em desenvolver novos recursos para ajudar a nós e nossos clientes a nos defendermos contra esses ataques”, acrescenta a Cloudflare.
A Security Report entrou em contato com a Salesforce e a Salesloft em busca de mais informações sobre o caso, mas até a publicação dessa reportagem, nenhum retorno foi enviado. O conteúdo será atualizado tão logo haja posicionamento a respeito.
Criticidade dos dados
Na visão dos Líderes de Cibersegurança do Grupo Security Leaders, a grande preocupação desse incidente envolve o comprometimento de dados confidenciais de empresas ou mesmo pessoais de usuários em contato com a Salesforce. Ainda que o vazamento possa ter exposto apenas nomes ou e-mails, os CISOs reforçam que esse tipo de perda também tem potencial de gerar impactos às organizações e indivíduos.
Nesse sentido, eles reforçam o papel central da Lei Geral de Proteção de Dados (LGPD) em relação à fiscalização de incidentes como este, que afetem diretamente o mercado brasileiro. O objetivo principal deve ser evitar a normalização de perdas de informações, por mais simples que sejam, para que a função de coibir esses casos não se perca.
Esse incidente lança luz sobre ampliar o debate sobre diversos temas essenciais da Cibersegurança brasileira e global, incluindo monitoramento de credenciais, Segurança sobre o ecossistema e apoio à legislação vigente sobre SI e proteção de dados. Essas discussões serão levadas aos próximos dois eventos do Congresso Security Leaders, marcados para ocorrer em 10 de setembro, em Fortaleza, e nos dias 22 e 23 de outubro, em São Paulo.
A Security Report divulga os posicionamentos da Palo Alto Networks, da Zscaler e da Cloudflare:
Posicionamento da Palo Alto Networks:
Na semana passada, a Salesloft anunciou que seu aplicativo Drift foi violado, o que proporcionou acesso não autorizado aos dados do Salesforce de seus clientes. Esse ataque à cadeia de suprimentos afetou centenas de organizações, incluindo a Palo Alto Networks.
Assim que tomamos conhecimento do evento, desconectamos o fornecedor do nosso ambiente Salesforce e nossas equipes de segurança da Unit 42 iniciaram uma investigação abrangente. Nossa investigação confirma que o incidente foi isolado à nossa plataforma de CRM; nenhum produto ou serviço da Palo Alto Networks foi afetado, e eles permanecem seguros e totalmente operacionais. Os dados envolvidos incluem principalmente informações de contato comercial, contas de vendas internas e dados básicos de casos relacionados aos nossos clientes.
Levamos este incidente a sério e estamos entrando em contato com um número limitado de clientes que podem ter dados mais confidenciais expostos.
Se você tiver dúvidas ou precisar de suporte adicional, nossas equipes estão disponíveis através dos canais de suporte ao cliente da Palo Alto Networks.
Para obter detalhes técnicos adicionais, orientações para vítimas de violação e recomendações de mitigação, consulte nosso Resumo de Ameaças da Unit 42.
Posicionamento da Zscaler:
Na Zscaler, proteger seus dados e manter a transparência são fundamentais para nossa missão de proteger, simplificar e acelerar a transformação dos negócios. Temos o compromisso de mantê-lo informado sobre os principais desenvolvimentos que podem afetar sua organização.
O que aconteceu?
A Zscaler tomou conhecimento de uma campanha direcionada ao Salesloft Drift (software de marketing como serviço) e que afetou um grande número de clientes da Salesforce. Este incidente envolveu o roubo de tokens OAuth conectados ao Salesloft Drift, um aplicativo de terceiros usado para automatizar fluxos de trabalho de vendas que se integra aos bancos de dados da Salesforce para gerenciar leads e informações de contato.
O escopo do incidente está restrito ao Salesforce e não envolve acesso a nenhum produto, serviço ou sistema e infraestrutura subjacentes da Zscaler.
Como parte dessa campanha, agentes não autorizados obtiveram acesso às credenciais do Salesloft Drift de seus clientes, incluindo a Zscaler. Após uma análise detalhada como parte de nossa investigação em andamento, determinamos que essas credenciais permitiram acesso limitado a algumas informações do Salesforce da Zscaler.
Quais informações podem ter sido afetadas?
As informações acessadas se limitaram a detalhes de contato comerciais comumente disponíveis para pontos de contato e conteúdo específico relacionado ao Salesforce, incluindo: Nomes, Endereços de e-mail comerciais, Cargos, Números de telefone, Detalhes regionais/de localização, Licenciamento de produtos Zscaler e informações comerciais, e Conteúdo em texto simples de certos casos de suporte [isso NÃO inclui anexos, arquivos e imagens]
Após uma investigação exaustiva, a Zscaler não encontrou, até o momento, nenhuma evidência que sugira o uso indevido dessas informações. Se houver alguma mudança, forneceremos mais comunicações e atualizações.
O que a Zscaler fez?
A Zscaler agiu rapidamente para resolver o incidente e mitigar os riscos. As medidas tomadas incluem: Revogar o acesso da Salesloft Drift aos dados do Salesforce da Zscaler; Por precaução, alternar outros tokens de acesso à API; Lançar uma investigação detalhada sobre o escopo do evento, trabalhando em estreita colaboração com a Salesforce para avaliar e compreender os impactos à medida que continuam investigando; Implementar salvaguardas adicionais e fortalecer protocolos para se defender contra incidentes semelhantes no futuro; Lançar imediatamente uma investigação de gerenciamento de risco de terceiros para fornecedores terceirizados usados pela Zscaler.
A equipe de suporte ao cliente da Zscaler fortaleceu ainda mais o protocolo de autenticação do cliente ao responder às chamadas dos clientes para se proteger contra possíveis ataques de phishing.
O que você pode fazer
Embora o alcance do incidente permaneça limitado (conforme mencionado acima) e nenhuma evidência de uso indevido tenha sido encontrada, recomendamos que os clientes mantenham uma vigilância redobrada. Tenha cuidado com possíveis ataques de phishing ou tentativas de engenharia social, que podem aproveitar os detalhes de contato expostos.
Dado que outras organizações sofreram incidentes semelhantes decorrentes do Salesloft Drift, é crucial ter cautela em relação a comunicações não solicitadas, incluindo e-mails, telefonemas ou solicitações de informações confidenciais. Sempre verifique a fonte da comunicação e nunca divulgue senhas ou dados financeiros por meio de canais não oficiais.
O suporte da Zscaler nunca solicitará detalhes de autenticação ou autorização por meio de contatos não solicitados, incluindo telefonemas ou SMS. Todas as comunicações oficiais da Zscaler vêm de canais confiáveis da Zscaler. Tenha cuidado e denuncie qualquer atividade suspeita de phishing para security@zscaler.com.
Posicionamento da Cloudflare:
Na semana passada, a Cloudflare foi notificada de que nós (e nossos clientes) fomos afetados pela violação da Salesloft Drift. Devido a essa violação, alguém externo à Cloudflare obteve acesso à nossa instância do Salesforce, que usamos para suporte ao cliente e gerenciamento interno de casos de clientes, e a alguns dos dados nela contidos.
A maioria dessas informações são dados de contato dos clientes e dados básicos de casos de suporte, mas algumas interações de suporte ao cliente podem revelar informações sobre a configuração de um cliente e podem conter informações confidenciais, como tokens de acesso.
Como os dados de casos de suporte do Salesforce contêm o conteúdo dos tickets de suporte com a Cloudflare, qualquer informação que um cliente possa ter compartilhado com a Cloudflare em nosso sistema de suporte — incluindo logs, tokens ou senhas — deve ser considerada comprometida, e recomendamos enfaticamente que você altere todas as credenciais que possa ter compartilhado conosco por meio desse canal.
Como parte de nossa resposta a este incidente, fizemos nossa própria pesquisa nos dados comprometidos para procurar tokens ou senhas e encontramos 104 tokens da API da Cloudflare. Não identificamos nenhuma atividade suspeita associada a esses tokens, mas todos eles foram alterados por precaução. Todos os clientes cujos dados foram comprometidos nesta violação foram informados diretamente pela Cloudflare.
Nenhum serviço ou infraestrutura da Cloudflare foi comprometido como resultado desta violação. Somos responsáveis pela escolha das ferramentas que usamos para apoiar nossos negócios. Esta violação decepcionou nossos clientes. Por isso, pedimos sinceras desculpas.
