CiberSegurançaNews
Tendência

Ataque cibernético à Salesloft compromete 22 empresas por falha em conta do GitHub

Hacker explorou repositórios de código-fonte e roubou tokens OAuth, resultando em grave violação na cadeia de suprimentos

Foto de Café com Bytes CCB Café com Bytes CCB Follow on X Mande um e-mail setembro 9, 2025
0 64 1 minuto de leitura
Banner 1 Banner 2 Banner 3 Banner 4

Um ataque cibernético que afetou dezenas de empresas teve início na invasão de uma conta da Salesloft no GitHub, segundo revelou a própria companhia. O incidente, que resultou em violação de dados por meio do aplicativo Drift, comprometeu 22 organizações parceiras em um efeito em cadeia.

A investigação conduzida pela Mandiant, empresa de segurança do Google, identificou que o responsável — rastreado como UNC6395 — explorou o acesso entre março e junho de 2025. Durante esse período, o invasor conseguiu baixar repositórios de código-fonte, adicionar usuários convidados e configurar fluxos de trabalho para ampliar seu alcance.

Como ocorreu a invasão

Após o reconhecimento inicial da infraestrutura da Salesloft e do Drift, o hacker obteve acesso ao ambiente da Amazon Web Services (AWS) do Drift. Nesse ponto, foram roubados tokens de autenticação OAuth de clientes que utilizavam integrações da plataforma. Esses tokens permitiram acesso a dados sensíveis, caracterizando uma grave violação na cadeia de suprimentos digital.

Em resposta, a Salesloft:

  • Isolou a infraestrutura e retirou o aplicativo Drift do ar em 5 de setembro de 2025;

  • Rotacionou credenciais e reforçou controles de segmentação entre os ambientes;

  • Recomendou que todas as empresas que utilizam o Drift revogassem chaves de API para prevenir acessos não autorizados.

Impacto nas integrações

A Salesforce, que suspendeu temporariamente as integrações com a Salesloft, restabeleceu a conexão em 7 de setembro. No entanto, manteve as integrações com o Drift desativadas até que novas medidas de segurança sejam implementadas.

Segundo a Salesforce:

“O Drift permanecerá desabilitado até novo aviso como parte da nossa resposta contínua ao incidente de segurança.”

Lições do ataque

O caso reforça a vulnerabilidade das empresas a ataques na cadeia de suprimentos, em que a invasão de um único fornecedor pode colocar em risco dezenas de clientes. Ele também serve como alerta para a necessidade de proteger contas de desenvolvedores e repositórios no GitHub, frequentemente explorados como porta de entrada por invasores.

Banner 1 Banner 2 Banner 3 Banner 4
Foto de Café com Bytes CCB Café com Bytes CCB Follow on X Mande um e-mail setembro 9, 2025
0 64 1 minuto de leitura
Banner 1 Banner 2 Banner 3 Banner 4
Foto de Café com Bytes CCB

Café com Bytes CCB

Sua dose diária de tecnologia_

Artigos relacionados

Nubank assusta clientes com aviso de liquidação extrajudicial enviado por engano

14 horas atrás

Bom Dia TI debate cibersegurança como pauta estratégica para a gestão empresarial em Caxias do Sul

17 horas atrás

Happy Hub da Assespro-RS debateu o uso da IA nas organizações

17 horas atrás

CETESB usa inteligência artificial e satélites para monitorar poluição nos rios Tietê e Pinheiros

20 horas atrás

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Banner 1 Banner 2 Banner 5 Banner 6
Botão Voltar ao topo