Ataques Exploram Salesloft Drift para Roubar Dados de Instâncias Salesforce

4 de setembro de 2025
Inteligência de Ameaças Cibernéticas
Ataques Exploram Salesloft Drift para Roubar Dados de Instâncias Salesforce
Voltar

Esta publicação tem como objetivo divulgar o documento desenvolvido pelo equipe de Threat Intelligence da Service IT Security, que foi desenvolvido e fundamentado utilizando as documentações oficiais do NIST (National Institute Of Standards and Technology), MITRE e CVE.org, que são conhecidas mundialmente na área de cibersegurança, como modelo e padronização de melhores práticas de segurança, pesquisa de metodologias de ataques e defesa cibernética, e pesquisa e catalogação de novas vulnerabilidades em sistemas operacionais e aplicações.

Ataques Exploram Salesloft Drift para Roubar Dados de Instâncias Salesforce

Em agosto de 2025, o Google Threat Intelligence Group (GTIG) e a Mandiant identificaram uma campanha de roubo massivo de dados corporativos conduzida pelo grupo UNC6395. O ataque explorou tokens OAuth comprometidos associados ao aplicativo Salesloft Drift integrado ao Salesforce e outras plataformas. O objetivo foi a exfiltração de credenciais sensíveis (chaves AWS, tokens Snowflake, senhas) e dados corporativos críticos (contas, usuários, oportunidades e casos).

 

 

Os principais riscos mapeados:

  • Exposição de dados sensíveis (clientes, oportunidades, tickets).

  • Roubo de credenciais (AWS, Snowflake, senhas reaproveitadas).

  • Acesso a e-mails do Google Workspace via integrações Drift.

  • Movimentação lateral utilizando credenciais roubadas para expandir o ataque.

  • Impactos reputacionais e regulatórios por vazamento de dados de clientes.

Versões/ambientes afetados:

  • Organizações que utilizam Salesforce integrado ao Salesloft Drift e outros serviços Drift (incluindo Drift Email).

  • Não houve falha no núcleo do Salesforce, mas sim abuso das integrações OAuth mal configuradas.

Recomendações de segurança:

  • Detecção e investigação

    • Revisar integrações no Drift Admin Settings.

    • Monitorar logs do Salesforce (Event Monitoring, UniqueQuery events).

    • Verificar atividade suspeita do Drift Connected App.

    • Buscar IoCs (IPs e user-agents maliciosos).

    • Utilizar ferramentas como Trufflehog para identificar segredos expostos.

  • Rotação e revogação de credenciais

    • Revogar/alterar tokens OAuth, chaves de API e senhas.

    • Resetar senhas de contas vinculadas.

    • Configurar timeouts de sessão no Salesforce.

  • Controles de acesso

    • Minimizar escopos OAuth (evitar permissões como fullaccess).

    • Aplicar restrições de IP no Connected App.

    • Definir ranges de IP confiáveis nos perfis de usuários.

    • Remover privilégio API Enabled de perfis não essenciais.

A Service IT Security segue monitorando ativamente novas exposições e mantendo seus clientes informados de qualquer evolução relevante.

👉 Para obter mais detalhes e verificar a versão completa do documento desta publicação, acesse-o clicando aqui.

Buscar

Categorias

Tags

cloud cloud foundation hci Novo Zero Day nuvem híbrida vmware zero day
Logo Service Horizontal - Branco
Para informações comerciais, administrativas, de alianças e imprensa:
Fale Conosco
Clique para conhecer e se candidatar às nossas vagas abertas
Vagas
© 2019 Service IT. All Rights Reserved.