Drift

A HackerOne confirmou que seu ambiente Salesforce foi comprometido após hackers explorarem uma vulnerabilidade no aplicativo Drift, fornecido pela Salesloft. O incidente foi inicialmente sinalizado pela Salesforce em 22 de agosto e confirmado pela Salesloft no dia seguinte, afetando um subconjunto de registros dentro do ambiente da HackerOne. A empresa assegurou que controles rigorosos de segmentação impediram a exposição de dados sensíveis de vulnerabilidades dos clientes. A equipe de segurança da HackerOne ativou imediatamente os protocolos de resposta a incidentes, colaborando com a Salesforce e a Salesloft para conter a intrusão e isolar a integração comprometida. A investigação preliminar revelou que os atacantes exploraram uma falha desconhecida no mecanismo de autenticação do Drift, permitindo o sequestro de sessões e acesso a dados adjacentes no CRM. Embora registros básicos de conta e informações de contato tenham sido expostos, dados críticos como códigos proprietários e relatórios de vulnerabilidade não foram afetados. A HackerOne está auditando todas as integrações existentes e implementou verificações adicionais para mitigar riscos futuros. Clientes afetados serão notificados diretamente, e um relatório detalhado do incidente será publicado após a conclusão da investigação.

Na última semana, o incidente de segurança envolvendo a Salesloft e a Drift destacou a vulnerabilidade das integrações entre sistemas. Ataques direcionados resultaram no roubo de tokens OAuth, permitindo acesso a dados do Salesforce de várias empresas de tecnologia de grande porte. A Salesloft decidiu retirar temporariamente a Drift do ar para revisar a aplicação e aumentar a segurança do sistema. Entre as empresas afetadas estão Cloudflare, Google Workspace e Palo Alto Networks. Além disso, o artigo menciona outras ameaças ativas, como a exploração de uma vulnerabilidade no Sitecore, que permite execução remota de código, e um novo backdoor do grupo de hackers russo APT28, que visa usuários do Microsoft Outlook. O uso de inteligência artificial por hackers também foi destacado, com ferramentas como HexStrike AI sendo utilizadas para explorar falhas de segurança. O artigo enfatiza a importância de manter sistemas atualizados e monitorar vulnerabilidades ativas para evitar danos significativos.

A Salesloft anunciou a desativação temporária do Drift, seu produto de chatbot, em resposta a um ataque cibernético em larga escala que comprometeu tokens de autenticação. O ataque, atribuído ao grupo de ameaças UNC6395, afetou mais de 700 organizações, incluindo grandes nomes como Google Workspace e Palo Alto Networks. O incidente começou em 8 de agosto de 2025 e se estendeu até pelo menos 18 de agosto de 2025, quando os atacantes utilizaram tokens OAuth roubados para acessar instâncias do Salesforce de clientes do Drift. A empresa está colaborando com parceiros de cibersegurança, como Mandiant e Coalition, para investigar e mitigar os danos. Como medida preventiva, a Salesforce desativou todas as integrações do Salesloft com sua plataforma. A Salesloft enfatizou que a segurança e a integridade dos dados dos clientes são suas principais prioridades e que o sistema será revisado para aumentar sua resiliência e segurança antes de ser reativado.