Centenas de Clientes Salesforce supostamente Alvo em Nova Campanha de Roubo de Dados
Aprofundamento CEVIU
Aprofundamento
O ShinyHunters não está explorando uma falha no Salesforce, está explorando um padrão repetido de negligência operacional: perfis de usuário convidado com permissões absurdas, APIs públicas habilitadas sem necessidade e falta de auditoria em ambientes Experience Cloud. A novidade técnica real da campanha atual é o uso de uma versão modificada do Aura Inspector, ferramenta lançada pelo Mandiant em janeiro de 2026 para ajudar administradores a corrigir exatamente esses problemas. O grupo reverteram a intenção da ferramenta: em vez de auditar, usam-na para exfiltrar dados via GraphQL, contornando limites nativos do framework Aura e agrupando centenas de requisições em uma única chamada POST.
Essa tática já permitiu roubar milhões de registros de empresas como Panera Bread, Wynn Resorts e Odido, todas com configurações de convidado abertas o suficiente para expor dados sensíveis diretamente ao público. A Salesforce reforça que não há vulnerabilidade no código da plataforma, mas sim na forma como clientes implementam o Experience Cloud: 92% das instâncias comprometidas tinham o perfil 'Guest User' com acesso a objetos como Account, Contact e Lead, e 78% mantinham 'API Enabled' ativado nesse perfil, algo que viola as próprias recomendações de segurança da empresa desde 2023.
Por que isso importa
Esse ataque não é só sobre vazamento de dados, é sobre escalonamento de ameaças. Os registros roubados (nomes, telefones, cargos, histórico de interações) alimentam campanhas de vishing direcionadas contra funcionários de TI e segurança, visando roubo de tokens OAuth ou aprovação de apps maliciosos integrados ao Salesforce. Uma única falha de configuração pode desencadear uma cadeia de violações em múltiplos SaaS: Okta, LastPass, Snowflake e ADT já apareceram na lista de alvos secundários do grupo. Para empresas brasileiras com CRM hospedado no Salesforce, isso significa que a revisão de perfis de convidado não é uma tarefa de infraestrutura, é uma prioridade de resposta a incidentes imediata.
Perguntas frequentes
O Salesforce tem uma vulnerabilidade real nessa campanha?
Não. A Salesforce confirma que não há falha no código da plataforma. O problema está nas configurações feitas pelos clientes: perfis de usuário convidado com excesso de permissões, APIs públicas habilitadas e compartilhamento inadequado de dados no Experience Cloud.
O que é o Aura Inspector e por que ele está sendo usado para ataques?
É uma ferramenta de linha de comando lançada pelo Mandiant em janeiro de 2026 para auditar controles de acesso no framework Aura. O ShinyHunters modificou sua versão para ir além da detecção: ela agora executa consultas GraphQL em massa e exfiltra dados diretamente via o endpoint ACTION$getItems, contornando limites de paginação.
Quais são as três medidas mais eficazes para bloquear esse tipo de ataque?
Desabilitar 'API Enabled' no perfil Guest User (impacto mais imediato), definir 'Acesso seguro a registros de usuário convidado' e trocar o compartilhamento padrão para 'Privado' para usuários externos. Monitorar logs de Event Monitoring do Aura para consultas anômalas também é crítico.
Empresas brasileiras estão entre as vítimas confirmadas?
Não há nomes públicos de empresas brasileiras na lista divulgada até março de 2026, mas a estrutura do ataque, focada em configurações genéricas do Experience Cloud, afeta qualquer organização que use o Salesforce com perfis de convidado mal configurados, independentemente da localização.
Fontes
- securityweek.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 11 de março de 2026
- Editoria
- CEVIU Segurança da Informação
