CEVIU Logo
Voltar
Ataques ShinyHunters Exploram OAuth para Exfiltração de Dados no Salesforce

Ataques ShinyHunters exploram OAuth para exfiltração de dados no Salesforce

Aprofundamento CEVIU

Aprofundamento

A Microsoft detalhou como o ShinyHunters operou entre meados de 2025 e julho de 2026 explorando OAuth não como um bug do Salesforce, mas como uma falha de governança: o abuso de confiança em aplicativos autorizados. O grupo não quebrou senhas nem explorou vulnerabilidades no código-fonte, usou consentimentos legítimos concedidos por usuários enganados em vishing ou herdou tokens via integrações comprometidas (Salesloft, Gainsight, Klue). Em cada caso, os ataques se misturavam ao tráfego normal porque rodavam com permissões reais, dentro de fluxos aprovados. Isso torna detecção tradicional inútil: não há login suspeito, não há MFA bypassado, não há IP malicioso, só uma API chamada com um token válido, mas usado para exfiltrar milhões de contatos, contas e casos de CRM.

O novo foco da Microsoft não é mais só caçar o atacante, mas auditar o ecossistema de acesso: quais apps estão conectados, quais permissões pediram, quanto tempo ficaram inativos, e qual risco real cada um representa. A pontuação de risco 0, 100 para apps OAuth no Defender for Cloud Apps não é um score genérico, é calculado com base em escopo concedido (ex.: api, full_access), atividade real (consultas em massa, exportações de relatórios), e padrão de uso (ex.: app autorizado em janeiro de 2025 e sem uso desde então). É a primeira vez que uma ferramenta comercial traduz privilégios OAuth em priorização operacional concreta para equipes de segurança.

O que mudou

Em março de 2026, a cobertura CEVIU sobre o ShinyHunters focava em configurações de usuário convidado no Experience Cloud e em uma ferramenta Aura Inspector modificada, um vetor distinto, baseado em permissões excessivas de infraestrutura. Em julho de 2026, o cenário mudou radicalmente: o foco agora é 100% em OAuth legítimo, com técnicas refinadas de vishing e cadeia de suprimentos, e a resposta não é só alerta, mas governança ativa. A Microsoft lançou funcionalidades novas em produção no Defender for Cloud Apps: atribuição de apps conectados em tempo real, identificação automática de apps inativos por 90 dias, e um modelo de risco quantificável, tudo integrado ao Salesforce Shield Event Monitoring. Isso é evolução técnica real: de detecção reativa para postura preventiva mensurável.

Por que isso importa

Esses ataques não são incidentes isolados, são o novo padrão de exfiltração em nuvem. Enquanto empresas investem em MFA e SSO, esquecem que um único app OAuth mal configurado pode valer mais que mil credenciais. Um app com escopo api + web + refresh_token permite acesso persistente, mesmo após troca de senha. E a nova Política de Segurança de Transação da Salesforce, que exige MFA para exportações acima de 10.000 registros a partir de 13 de julho de 2026, mostra que o problema já está no radar regulatório. Ignorar governança de OAuth hoje é como deixar a porta dos fundos aberta enquanto instala câmeras na frente.

Linha do tempo

  1. Comprometimento de credenciais da Salesloft Drift permite aos atacantes obter segredos de conexão e usar tokens OAuth em múltiplas instâncias do Salesforce

  2. Campanha contra aplicativos Gainsight integrados ao Salesforce garante acesso persistente em cerca de 285 instâncias de clientes

  3. ShinyHunters explora configurações excessivamente permissivas de usuário convidado no Salesforce Experience Cloud e ferramenta Aura Inspector modificada

  4. Ataque do grupo Icarus via conta Klue comprometida exfiltra dados de CRM durante 24 horas usando tokens OAuth e scripts Python

  5. Microsoft e Salesforce divulgam melhorias de telemetria, detecção em tempo real e governança de apps OAuth no Defender for Cloud Apps para combater abusos do ShinyHunters

Perguntas frequentes

O Salesforce foi hackeado? Há uma vulnerabilidade nele?

Não. A Microsoft e a Salesforce confirmaram que não houve exploração de falha no código do Salesforce. Os ataques usaram acessos OAuth legítimos, consentimentos dados por usuários ou tokens herdados de integrações comprometidas. O problema está na gestão desses acessos, não na plataforma.

Por que o vishing de OAuth é tão eficaz contra equipes de segurança?

Porque ele não gera sinais clássicos de ataque: não há tentativa de login falha, não há IP suspeito, não há malware. É um usuário real, clicando em 'Conceder acesso' para um app que parece ser uma ferramenta de TI. A detecção depende de análise comportamental de API, não de autenticação.

O que muda com a nova pontuação de risco 0, 100 para apps OAuth?

Antes, equipes viam listas de apps conectados sem saber por onde começar. Agora, o Defender prioriza automaticamente: um app com escopo full_access, inativo há 120 dias, mas com histórico de exportações grandes, recebe pontuação alta. Isso transforma uma tarefa manual de auditoria em uma fila de ação objetiva.

A nova política da Salesforce que exige MFA para exportações de relatórios resolve esse problema?

Ela mitiga parte do risco, mas só para exportações feitas via interface web. Ataques via API (como os do ShinyHunters) continuam possíveis com tokens OAuth válidos. A política é um passo importante, mas não substitui a governança de apps conectados e o monitoramento de atividade anômala de API.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
16 de julho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser