Lições aprendidas com a exposição ao problema de deriva na Salesloft: o que aconteceu, seu impacto e como a Cyera pode ajudar.

Sep 2, 2025
Share

Esta semana, pesquisadores de segurança divulgaram um incidente significativo envolvendo Integrações do Salesloft DriftAtores maliciosos exploraram tokens OAuth vinculados ao Salesloft, obtendo acesso não autorizado a aplicativos conectados, incluindo o Salesforce.

O ataque foi associado a um grupo chamado Caçadores de Brilhantes, conhecida por ter como alvo empresas de grande visibilidade no passado.

Embora a Salesforce em si não tenha sido a origem da violação, as integrações por meio do Salesloft abriram novas vias de acesso para os invasores. segredos e credenciais em ambientes de clientes.

O incidente destaca uma realidade mais ampla: quanto mais interconectadas as aplicações SaaS se tornam, mais crucial se torna compreender... Onde ficam armazenados os dados sensíveis e as credenciais, quem pode acessá-los e como os invasores podem explorar essas brechas..

O que sabemos que aconteceu?

Tudo começou com uma porta entreaberta. O Salesloft Drift, uma plataforma de engajamento de vendas amplamente utilizada, tornou-se alvo quando invasores descobriram uma maneira de explorar os tokens OAuth — aquelas chaves invisíveis que mantêm as integrações funcionando silenciosamente em segundo plano. Com esses tokens em mãos, os invasores não precisavam de senhas nem de autenticação multifator; de repente, eles tinham acesso a ambientes confiáveis.

A partir daí, a violação se alastrou. Como a Salesloft estava conectada a outras plataformas SaaS críticas, incluindo Salesforce, Google Workspace e Outlook, os invasores obtiveram acesso a um ecossistema digital muito mais amplo. Eles não estavam apenas procurando por registros de clientes ou e-mails — relatos indicam que eles estavam especificamente buscando por Segredos e credenciais incorporados em dados do clienteCom isso, eles poderiam desbloquear ainda mais sistemas a jusante.

  • A exposição teve origem em Deriva de vendas, onde tokens OAuth comprometidos concederam aos atacantes acesso não autorizado.
  • A Salesforce estava entre as integrações afetadas., não a origem da violação, mas um caminho potencial para atacantes.
  • O Google emitiu avisos para 2,5 bilhões de usuários do Gmail, sublinhando a dimensão global e a urgência do incidente.

Qual é o impacto?

Os efeitos em cadeia desse incidente mostram o quão frágeis podem ser os ecossistemas SaaS interconectados. Imagine um único elo fraco em uma corrente: uma pequena vulnerabilidade no Salesloft Drift se espalhou instantaneamente para os sistemas afetados. De repente, ambientes Salesforce — que abrigam dados confidenciais de clientes — e até mesmo caixas de entrada do Gmail foram atingidos.

A ameaça não se limitava a registros roubados. Segundo relatos, os invasores estavam vasculhando ambientes em busca de informações. Segredos — como chaves de API, tokens ou credenciais — armazenados em objetos do Salesforce ou registros de clientes.Esses segredos, uma vez descobertos, podem ser usados ​​como arma para infiltrar ainda mais sistemas. Para as organizações, isso significa que a exposição não termina em uma única plataforma; ela se espalha como uma epidemia por todas as integrações.

  • Maior visibilidade por meio de integraçõesUma falha de compatibilidade no Salesloft Drift rapidamente se estendeu ao Salesforce, Google Workspace e Outlook.
  • Segredos como alvoOs atacantes estavam focados em encontrar credenciais incorporadas eles poderiam usar isso para ataques futuros.
  • Riscos de Conformidade e ConfiançaMesmo quando a culpa inicial recai sobre terceiros, as organizações são responsáveis ​​pelos dados sensíveis expostos e enfrentam consequências reputacionais e regulatórias.

Como isso aconteceu?

A violação não começou com nomes de usuário roubados ou senhas quebradas — começou com os tokens em que confiamos para que o SaaS moderno funcione perfeitamente. Os tokens OAuth foram criados para simplificar nossas vidas digitais, passando silenciosamente entre aplicativos para manter as integrações fluidas e seguras. Mas, em mãos erradas, esses mesmos tokens se tornam uma chave mestra.

No caso do Salesloft Drift, os atacantes conseguiram abusar desses tokens, concedendo a si mesmos o mesmo nível de acesso que os usuários legítimos. Uma vez dentro do sistema, eles não pararam no Salesloft. Como água que corre ladeira abaixo, os atacantes seguiram as conexões naturais entre os aplicativos. O Salesforce era um deles — não a origem do problema, mas um alvo valioso devido aos dados sensíveis que armazena.

O verdadeiro desafio para as organizações é que poucas equipes têm visibilidade de como essas integrações movimentam dados. Segredos armazenados em objetos do Salesforce, credenciais incorporadas em notas ou chaves de API esquecidas podem se tornar pontos de acesso privilegiados nas mãos de um invasor. E como os controles de identidade geralmente confiam em tokens OAuth, essas movimentações muitas vezes passam despercebidas.

  • Exploração de token OAuthOs atacantes contornaram os métodos tradicionais de login abusando de tokens OAuth, o que proporcionou acesso persistente sem interação do usuário.
  • Integração como Caminho de AtaqueO Salesloft Drift serviu como ponto de entrada inicial, mas os atacantes rapidamente exploraram integrações conectadas, como Salesforce e Google Workspace.
  • Pontos cegos na visibilidade dos dadosA maioria das organizações não conseguia ver onde os dados sensíveis ou segredos estavam armazenados, deixando pontos cegos exploráveis.
  • Limitações dos controles IAMAs ferramentas de gerenciamento de identidade e acesso não foram suficientes - elas confiaram nos tokens e não perceberam as movimentações anômalas de dados criadas pelos invasores.

O que as organizações devem fazer para evitar esses riscos?

A própria Salesforce enfatizou que, embora as integrações tornem as plataformas SaaS poderosas, elas também expandem a superfície de ataque. Para mitigar riscos como os destacados na exposição do Salesloft Drift, as organizações devem:

Para reduzir a probabilidade de incidentes semelhantes, as equipes de segurança devem:

  • Elimine segredos dos registros de SaaS – Senhas, chaves de API e credenciais nunca devem ser armazenadas em campos do Salesforce.
  • Audite as integrações OAuth regularmente – Remova aplicativos não utilizados ou suspeitos.
  • Defina o escopo dos tokens de acordo com o princípio do menor privilégio – Garanta que os aplicativos OAuth acessem apenas o que precisam.
  • Rotacione os tokens agressivamente – Tokens de curta duração limitam a persistência do atacante.
  • Saiba tudo a que terceiros têm acesso – Candidate-se Gestão da Postura de Segurança de Dados (DSPM) Princípios para entender exatamente quais fornecedores, integrações e aplicativos têm acesso a dados confidenciais.
  • Monitore fluxos de dados em tempo real – Aproveite Prevenção de Perda de Dados (DLP) Técnicas para detectar movimentos anômalos de dados sensíveis em integrações.
  • Educar os funcionários sobre golpes de vishing e de autorização de aplicativos – a confiança humana continua sendo um vetor de ataque fundamental.

Como a Cyera pode ajudar

Incidentes como a exposição do Salesloft Drift nos lembram de uma dura verdade: os atacantes não visam apenas alvos óbvios, eles procuram por pequenas falhas — os segredos deixados em registros, os tokens que ninguém se lembrou de verificar, as integrações que silenciosamente expandem o acesso muito além do esperado. Defender-se disso exige visibilidade, não apenas controle.

A Cyera ajuda as organizações a colocar essas práticas em ação, fornecendo às equipes de segurança a visibilidade e o conhecimento que muitas vezes lhes faltam:

  • Identificar segredos e credenciais
    A Cyera analisa ambientes Salesforce para detectar segredos, senhas ou chaves de API ocultas em registros onde não deveriam existir, permitindo que as equipes as removam antes que os invasores as explorem.
  • Crie um mapa de acesso
    A Cyera mostra quem e quais integrações podem acessar dados confidenciais do Salesforce, ajudando as equipes a identificar acessos excessivos ou inesperados.
  • Riscos do compartilhamento excessivamente permissivo na superfície
    A Cyera destaca dados que são compartilhados de forma muito ampla — entre usuários, grupos ou aplicativos de terceiros — para que as organizações possam reforçar os controles.
  • Habilitar a remediação informada
    Com essa visibilidade, as equipes podem não apenas reagir mais rapidamente em caso de incidente, mas também reduzir proativamente a exposição, garantindo que os dados sensíveis estejam melhor protegidos antes mesmo que uma violação ocorra.

Em vez de substituir os controles de identidade ou integração, a Cyera fornece a visibilidade e contexto centrados em dados Isso torna essas práticas de segurança acionáveis. O resultado é um ambiente Salesforce mais robusto e resiliente, onde os segredos são removidos, o acesso é dimensionado corretamente e os riscos são mais fáceis de gerenciar.

Se uma integração como o Salesloft Drift fosse comprometida, ter essa visibilidade não impediria a exposição inicial, mas faria uma diferença significativa na limitação do seu impacto. As equipes de segurança já saberiam onde os dados de alto valor estavam armazenados, se havia segredos presentes e como as integrações estavam usando esses dados. Esse tipo de conhecimento transforma uma busca às cegas em uma resposta informada.

Algumas das maneiras pelas quais a Cyera ajuda as organizações a fortalecer a resiliência incluem:

  • Revelando os riscos ocultosIdentificar "segredos", credenciais e dados confidenciais dentro de objetos do Salesforce que possam ser alvos de invasores.
__wf_reservado_herdado
Credenciais não criptografadas armazenadas em texto não criptografado na plataforma Cyera.
__wf_reservado_herdado
  • Consciência contextual das integraçõesDestacar quais aplicativos de terceiros (como o Drift) têm acesso a dados confidenciais, para que as equipes possam avaliar os riscos adequadamente.

Ao fornecer às equipes de segurança uma visão clara de seus ambientes Salesforce — onde os dados confidenciais residem, quem tem acesso a eles e como são compartilhados — ajudamos as organizações a reduzir riscos, minimizar o impacto e responder com clareza quando algo dá errado.

Conclusão

A vulnerabilidade Drift da Salesloft não se resume a um único fornecedor ou plataforma. Ela serve como um lembrete de quão profundamente interconectados são os ecossistemas SaaS — e de como os atacantes explorarão cada vez mais essas conexões para encontrar segredos e credenciais que desbloqueiem acessos adicionais.

Com CyeraAs organizações passam a ter a capacidade de visualizar e proteger dados confidenciais dentro do Salesforce, suas integrações e aplicativos similares. Essa visibilidade garante que, mesmo que um serviço externo seja comprometido, o impacto seja reduzido, ajudando as equipes de segurança a responder com clareza e confiança.

Share