a black and white sign with white letters
Pesquisar
Instagram Linkedin Facebook Soundcloud Youtube Discord

Vazamentos de Dados: Casos Palo Alto Networks e Workiva

Facebook Youtube Instagram Soundcloud Envelope

Os vazamentos de dados em grandes corporações representam uma das maiores ameaças da atualidade, transcendendo perdas financeiras e impactando profundamente a confiança dos consumidores. Neste artigo do blog Dolutech, analisamos casos recentes que afetaram empresas como Palo Alto Networks e Workiva, explorando as metodologias dos atacantes e estratégias essenciais de proteção.

O Ataque à Cadeia de Fornecimento Salesloft Drift

Entre 8 e 18 de agosto de 2025, o grupo de ameaças UNC6395 (também conhecido como GRUB1) executou uma campanha massiva de roubo de dados que explorou tokens OAuth comprometidos associados à aplicação Salesloft Drift. Este ataque representou uma das maiores violações da cadeia de fornecimento já registradas no setor de Software-as-a-Service (SaaS), afetando potencialmente mais de 700 organizações.

Metodologia do Ataque

A sofisticação do ataque da Dolutech identificou que residia na exploração de uma integração legítima entre o chatbot de inteligência artificial Drift e as instâncias do Salesforce dos clientes. Os atacantes conseguiram comprometer os tokens OAuth e de atualização desta integração, permitindo-lhes acesso não autorizado aos dados armazenados nos sistemas Salesforce das empresas afetadas.

O grupo UNC6395 demonstrou um alto nível de sofisticação operacional, empregando ferramentas automatizadas personalizadas em Python para extrair sistematicamente grandes volumes de dados dos objetos Salesforce, incluindo registros de Contas, Contatos, Casos e Oportunidades.

Busca por Credenciais Sensíveis

Após a extração, os atacantes implementaram processos automatizados para buscar credenciais sensíveis nos dados roubados, incluindo chaves de acesso da AWS, tokens do Snowflake, strings de login VPN e SSO, e palavras-chave genéricas como “password”, “secret” ou “key”.

Análise do Caso Palo Alto Networks

A Palo Alto Networks, uma multinacional americana especializada em cibersegurança, confirmou ter sido uma das centenas de empresas afetadas pelo ataque à cadeia de fornecimento. A ironia de uma empresa de segurança cibernética tornar-se vítima de um ataque cibernético destacou a natureza ubíqua das ameaças modernas.

Vazamento: Dados Comprometidos na Palo Alto

Segundo a investigação da Unit 42 da própria Palo Alto Networks, os dados expostos incluíram informações de contato comercial e relacionadas a contas, registros internos de contas de vendas, e dados básicos de casos de suporte ao cliente.

A empresa confirmou que os dados de casos de suporte continham apenas informações de contato e comentários de texto, excluindo arquivos técnicos de suporte ou anexos. Crucialmente, a investigação confirmou que nenhum produto, sistema ou serviço da Palo Alto Networks foi afetado, limitando o impacto ao sistema CRM Salesforce.

Resposta Exemplar da Empresa

A Palo Alto Networks demonstrou uma resposta exemplar ao incidente. A empresa implementou imediatamente medidas de contenção ao desconectar o aplicativo Drift de seu ambiente Salesforce assim que teve conhecimento do evento.

O Impacto na Workiva

A Workiva, um provedor líder de Software-as-a-Service (SaaS) baseado em nuvem com receitas de $739 milhões em 2024, notificou seus clientes sobre o comprometimento de dados através do mesmo ataque à cadeia de fornecimento.

Escala da Workiva

A empresa serve uma base impressionante de clientes. A Workiva teve 6.305 clientes ao final do ano passado, incluindo 85% das empresas Fortune 500 e clientes de alto perfil como Google, T-Mobile, Delta Air Lines, Wayfair, Hershey, Slack e muitos outros.

Dados Expostos na Workiva

Segundo notificação privada por email enviada aos clientes afetados, os atacantes exfiltraram um conjunto limitado de informações de contato comercial, incluindo nomes e endereços de email, números de telefone e conteúdo de tickets de suporte.

A empresa enfatizou que a plataforma Workiva e quaisquer dados contidos nela não foram acessados ou comprometidos, limitando a exposição ao sistema CRM de terceiros.

Outras Empresas Afetadas

O ataque à cadeia de fornecimento Salesloft Drift teve um alcance extraordinário, afetando múltiplas empresas de segurança cibernética:

Cloudflare

A Cloudflare revelou que os atacantes ganharam acesso a uma instância Salesforce usada para gerenciamento interno de casos de clientes e suporte ao cliente, que continha 104 tokens de API da Cloudflare.

Zscaler

A Zscaler alertou que sofreu uma violação de dados após atores de ameaças ganharem acesso à sua instância Salesforce e roubarem informações de clientes, incluindo o conteúdo de casos de suporte.

Lições Aprendidas dos Casos Recentes

1. Vulnerabilidade da Cadeia de Fornecimento

O ataque Salesloft Drift demonstrou como integrações aparentemente benignas de terceiros podem se tornar vetores para violações de dados em larga escala. A lição fundamental é que a segurança de uma organização é apenas tão forte quanto o elo mais fraco em sua cadeia de fornecimento tecnológico.

2. Importância da Gestão de Tokens OAuth

Os tokens OAuth, quando comprometidos, permitem que atacantes operem com acesso confiável aos sistemas Salesforce, contornando controles tradicionais de segurança como autenticação multifator. Nós, na Dolutech, recomendamos que as organizações tratem esses tokens como credenciais de alto valor.

3. Necessidade de Monitoramento Proativo

A detecção precoce emergiu como elemento crítico. Organizações que implementaram monitoramento proativo e ferramentas de detecção em tempo real conseguiram identificar e responder a ameaças mais rapidamente, minimizando danos potenciais.

Como Empresas Podem Se Proteger

Implementação de Arquitetura Zero Trust

A adoção de uma arquitetura Zero Trust representa uma mudança paradigmática de modelos tradicionais de segurança perimetral para uma abordagem que verifica continuamente cada tentativa de acesso.

Componentes essenciais incluem:

  • Autenticação multifator obrigatória para todos os usuários
  • Verificação contínua de identidade e privilégios
  • Segmentação de rede para limitar movimento lateral
  • Monitoramento comportamental em tempo real

Gestão Rigorosa de Aplicações de Terceiros

As organizações devem implementar processos abrangentes de governança para aplicações conectadas:

Avaliação de Fornecedores: Implementar listas de verificação de segurança de fornecedores e definir políticas obrigatórias de proteção de dados em contratos.

Auditoria Regular de Integrações: Revisar e revogar tokens de aplicações conectadas desnecessários ou com permissões excessivamente amplas.

Monitoramento Contínuo: Implementar ferramentas de monitoramento que detectem atividade anômala em integrações de terceiros.

Controles de Acesso e Gestão de Identidade

A implementação de controles de acesso robustos é fundamental:

  • Controles Baseados em Função: Definir e aplicar rigorosamente privilégios de acesso baseados nas necessidades específicas do trabalho
  • Princípio de Menor Privilégio: Garantir que usuários e aplicações tenham apenas os privilégios mínimos necessários
  • Revisão Regular de Privilégios: Conduzir auditorias periódicas para identificar e revogar acessos desnecessários

Estratégias de Mitigação Específicas

Fortalecimento de Integrações SaaS

Dado o foco dos ataques recentes em integrações SaaS, as organizações devem:

  1. Inventário de Integrações: Manter um inventário atualizado de todas as aplicações de terceiros conectadas
  2. Avaliação de Riscos: Avaliar regularmente os riscos associados a cada integração
  3. Controles Granulares: Limitar permissões de integrações ao mínimo necessário

Monitoramento de Tokens OAuth

Implementar monitoramento específico para tokens OAuth, incluindo logging de atividades OAuth, alertas de anomalias e rotação regular de tokens.

Planejamento de Resposta a Incidentes

Desenvolvimento de Plano de Resposta

Um plano eficaz de resposta a incidentes deve incluir:

  • Equipe Multifuncional: Incluir representantes de TI, jurídico, relações públicas e outros departamentos relevantes
  • Procedimentos de Escalação: Definir quando e como escalar incidentes baseados em severidade e impacto
  • Planos de Comunicação: Estabelecer protocolos para comunicação interna e externa durante incidentes

Preparação e Treinamento

  • Exercícios de Simulação: Conduzir regularmente simulações de mesa e exercícios práticos
  • Treinamento da Equipe: Garantir que todos os membros compreendam seus papéis e responsabilidades
  • Revisão Regular: Atualizar planos baseados em lições aprendidas e mudanças no ambiente operacional

Tecnologias Emergentes e Tendências

Inteligência Artificial na Segurança

A integração de IA e aprendizado de máquina está revolucionando a detecção e resposta a ameaças:

  • Detecção Automatizada: Sistemas de IA podem identificar padrões suspeitos que poderiam passar despercebidos
  • Resposta Automatizada: Capacidades de contenção e mitigação automatizadas podem reduzir significativamente os tempos de resposta
  • Análise Preditiva: Modelos de IA podem prever potenciais vetores de ataque baseados em inteligência de ameaças

Privacidade por Design

A implementação de princípios de privacidade por design está se tornando fundamental:

  • Minimização de Dados: Coletar e reter apenas dados essenciais para operações
  • Controles Granulares: Implementar dashboards de privacidade amigáveis ao usuário
  • Transparência Proativa: Fornecer políticas de privacidade claras e concisas

Considerações de Conformidade e Regulamentação

Requisitos de Notificação

Os incidentes recentes destacaram a importância de compreender e cumprir requisitos regulamentares:

  • Prazos de Notificação: Diferentes jurisdições têm prazos variados para notificação de violações
  • Conteúdo de Notificações: Regulamentações especificam que informações devem ser incluídas
  • Múltiplas Jurisdições: Empresas globais devem navegar requisitos de múltiplas jurisdições simultaneamente

Documentação e Preservação de Evidências

  • Logs Detalhados: Manter logs abrangentes de todas as atividades do sistema
  • Cadeia de Custódia: Estabelecer procedimentos claros para preservação de evidências digitais
  • Coordenação com Autoridades: Desenvolver protocolos para cooperação com investigações regulamentares

Recomendações Específicas por Setor

Empresas de Tecnologia

Para empresas de tecnologia, particularmente aquelas no setor de segurança cibernética:

  • Transparência Pós-Incidente: Manter comunicação aberta e transparente com clientes sobre incidentes
  • Investigação Interna: Utilizar expertise interna para conduzir investigações abrangentes
  • Melhoria Contínua: Implementar lições aprendidas em produtos e serviços

Provedores de SaaS

Para empresas como a Workiva que fornecem serviços SaaS:

  • Isolamento de Sistemas: Garantir que violações em sistemas de suporte não afetem plataformas principais
  • Comunicação Proativa: Implementar canais claros de comunicação para notificar clientes
  • Educação de Clientes: Fornecer orientação sobre como reconhecer comunicações legítimas

Tendências Futuras e Preparação

Evolução das Ameaças

As ameaças continuarão evoluindo, com atacantes focando em:

  • Colaboração Entre Grupos: Maior colaboração entre grupos criminosos diferentes
  • Sofisticação Técnica: Uso crescente de ferramentas automatizadas e técnicas de evasão avançadas
  • Alvos de Alto Valor: Foco contínuo em organizações com acesso a grandes volumes de dados

Preparação Organizacional

Para se preparar para ameaças futuras, a Dolutech recomenda que as organizações:

  • Investimento Contínuo: Manter investimento consistente em tecnologias e treinamento de segurança
  • Adaptabilidade: Desenvolver capacidades para se adaptar rapidamente a novas ameaças
  • Colaboração Setorial: Participar em iniciativas de compartilhamento de inteligência de ameaças

Exemplo Técnico: Implementação de Monitoramento OAuth

Para organizações que utilizam integrações OAuth, implementar o seguinte script de monitoramento pode ajudar a detectar atividades suspeitas:

import requests
import json
from datetime import datetime, timedelta

def monitor_oauth_activity():
    """
    Script para monitorar atividades OAuth suspeitas
    """
    # Configurações da API do Salesforce
    sf_endpoint = "https://your-instance.salesforce.com"
    
    # Buscar logs de autenticação OAuth nas últimas 24 horas
    start_time = datetime.now() - timedelta(days=1)
    
    # Query para identificar padrões suspeitos
    query = f"""
    SELECT LoginType, SourceIp, Browser, Platform, 
           LoginTime, UserId, Status
    FROM LoginHistory 
    WHERE LoginTime >= {start_time.isoformat()}
    AND LoginType = 'OAuth'
    ORDER BY LoginTime DESC
    """
    
    # Indicadores de comprometimento específicos
    suspicious_patterns = [
        'Python/3.11 aiohttp/3.12.15',  # User-Agent usado pelo UNC6395
        'TruffleHog',  # Scanner de segredos usado pelos atacantes
    ]
    
    # Análise de IPs suspeitos (exemplo com IPs Tor conhecidos)
    tor_exit_nodes = [
        # Lista de nós de saída Tor conhecidos
        # Deve ser atualizada regularmente
    ]
    
    return analyze_login_patterns(query, suspicious_patterns, tor_exit_nodes)

Conclusão

Os casos recentes de vazamentos de dados envolvendo empresas como Palo Alto Networks e Workiva ilustram a natureza evolutiva e sofisticada das ameaças cibernéticas modernas. O ataque à cadeia de fornecimento Salesloft Drift demonstrou como atacantes podem explorar integrações legítimas de terceiros para comprometer centenas de organizações simultaneamente.

Neste artigo da Dolutech, identificamos que nenhuma organização, independentemente de seu tamanho ou expertise em segurança, está imune a ataques cibernéticos. A resposta eficaz requer uma abordagem holística que combine tecnologias avançadas, processos rigorosos, treinamento contínuo e uma cultura organizacional que priorize a segurança.

A implementação de arquiteturas Zero Trust, gestão rigorosa de integrações de terceiros, monitoramento proativo e planos robustos de resposta a incidentes não são mais opcionais – são imperativos empresariais fundamentais. As organizações que investem proativamente nestas capacidades não apenas protegem melhor seus ativos digitais, mas também demonstram compromisso com a confiança dos clientes.

Olhando para o futuro, a colaboração entre organizações, o compartilhamento de inteligência de ameaças e a adoção de tecnologias emergentes como inteligência artificial para segurança serão críticos para manter-se à frente da paisagem de ameaças em constante evolução. A preparação contínua, adaptabilidade e vigilância permanecerão as pedras angulares de uma estratégia eficaz de segurança cibernética.

Conheça nosso Canal do Youtube
Escute Nosso DoluCast
Melhores da Semana