Saas

Pesquisadores em cibersegurança alertam sobre dois grupos de cibercrime, Cordial Spider e Snarky Spider, que estão realizando ataques rápidos e de alto impacto em ambientes de Software como Serviço (SaaS). Esses grupos, ativos desde pelo menos outubro de 2025, utilizam táticas como phishing por voz (vishing) para direcionar usuários a páginas de login falsas, onde capturam dados de autenticação. Ao operar quase exclusivamente em ambientes SaaS confiáveis, eles minimizam suas pegadas digitais, dificultando a detecção por parte das equipes de segurança. Os ataques têm como alvo principalmente setores de varejo e hospitalidade, e os invasores são conhecidos por registrar novos dispositivos para contornar a autenticação multifatorial (MFA) e suprimir notificações de e-mail sobre registros não autorizados. A exfiltração de dados ocorre rapidamente, geralmente em menos de uma hora, e os atacantes visam contas privilegiadas para acessar informações sensíveis em plataformas como Google Workspace e Salesforce. A combinação de velocidade e precisão torna esses ataques particularmente desafiadores para a defesa.

Em 31 de janeiro de 2026, pesquisadores revelaram que o Moltbook, uma rede social voltada para agentes de IA, deixou seu banco de dados exposto, resultando na divulgação de 35 mil endereços de e-mail e 1,5 milhão de tokens de API de agentes ativos. O problema se agrava com a presença de credenciais de terceiros em mensagens privadas, incluindo chaves da API do OpenAI, armazenadas em tabelas não criptografadas. Essa situação exemplifica uma combinação tóxica de permissões entre aplicações, onde um agente de IA atua como intermediário sem a devida autorização dos proprietários das plataformas. A falta de revisão de acessos entre aplicações contribui para essa vulnerabilidade, já que a maioria das auditorias de acesso ainda se concentra em uma única aplicação, ignorando as interações entre elas. Para mitigar esses riscos, é essencial revisar as concessões de escopo entre aplicativos, manter um inventário de identidades não humanas e monitorar continuamente as anomalias de escopo. Plataformas de segurança dinâmicas, como a Reco, podem ajudar a automatizar essa visão cruzada, permitindo que as organizações identifiquem e revoguem acessos arriscados antes que sejam explorados.

Em setembro de 2025, a Anthropic revelou que um ator de ameaça patrocinado por um estado utilizou um agente de codificação de IA para conduzir uma campanha de espionagem cibernética autônoma contra 30 alvos globais. O agente de IA executou de 80% a 90% das operações táticas de forma independente, realizando reconhecimento, escrevendo códigos de exploração e tentando movimentação lateral em alta velocidade. O artigo destaca uma preocupação ainda maior: a possibilidade de um atacante comprometer um agente de IA já presente no ambiente de uma organização, que possui acesso e permissões legítimas para se mover pelos sistemas. O modelo tradicional de cadeia de ataque cibernético, desenvolvido pela Lockheed Martin, presume que os atacantes precisam conquistar cada passo de acesso, mas os agentes de IA não seguem esse padrão. Uma vez comprometido, um agente de IA pode fornecer ao atacante um mapa completo do ambiente, acesso amplo e uma justificativa legítima para movimentar dados, tornando a detecção extremamente difícil. O artigo também menciona a crise do OpenClaw, onde 12% das habilidades em seu mercado público eram maliciosas, evidenciando o risco de agentes de IA comprometidos. Para mitigar esses riscos, a Reco oferece uma solução que descobre e mapeia agentes de IA, avaliando suas permissões e ajudando a identificar comportamentos anômalos.

O crescimento rápido do tráfego em aplicações SaaS pode esconder um problema sério: ataques automatizados. Embora as métricas de uso, como inscrições e chamadas de API, pareçam positivas, muitos usuários não ativam suas contas e os custos operacionais aumentam. O artigo destaca a importância de um firewall de aplicação web (WAF) como o SafeLine, que analisa cada requisição HTTP antes que ela chegue ao código da aplicação. O SafeLine não apenas bloqueia ataques comuns, como injeções SQL e XSS, mas também identifica comportamentos anômalos que podem indicar abusos, como inscrições falsas e tentativas de login automatizadas. A solução é auto-hospedada, permitindo que as equipes mantenham controle total sobre os dados e a configuração. O artigo também discute como o SafeLine pode ser integrado facilmente à infraestrutura existente, proporcionando uma camada adicional de segurança sem complicações. Com a implementação do SafeLine, uma equipe de SaaS conseguiu reduzir drasticamente o número de inscrições falsas e estabilizar o uso da CPU, permitindo que a equipe se concentrasse em melhorias de produto em vez de se preocupar com abusos. Essa abordagem é especialmente relevante para empresas que buscam proteger suas operações e dados em um ambiente cada vez mais ameaçado por bots e ataques automatizados.

A Mandiant alertou sobre uma onda crescente de ataques de roubo de dados SaaS, orquestrados pelo grupo ShinyHunters, que estão sendo impulsionados por ataques de phishing por voz (vishing). Os criminosos se passam por funcionários de TI e helpdesk, contatando diretamente os colaboradores para alegar que as configurações de autenticação multifator (MFA) precisam ser atualizadas. Durante a ligação, as vítimas são direcionadas a sites de phishing que imitam os portais de login de suas empresas, onde suas credenciais de SSO e códigos MFA são capturados. Os atacantes, enquanto ainda estão em contato com a vítima, conseguem autenticar-se em tempo real, ativando dispositivos próprios para manter o acesso. Uma vez dentro, eles podem acessar uma variedade de aplicativos SaaS, como Salesforce, Microsoft 365 e Google Drive, utilizando um único conjunto de credenciais comprometidas. A Mandiant identificou diferentes grupos de ameaças, como UNC6661 e UNC6671, que utilizam técnicas semelhantes, mas com variações nas táticas de extorsão. A empresa recomenda que as organizações adotem medidas de proteção e monitoramento para detectar comportamentos suspeitos relacionados a esses ataques.

A Mandiant, empresa de cibersegurança pertencente ao Google, identificou um aumento nas atividades de grupos de hackers, como o ShinyHunters, que utilizam táticas de engenharia social para realizar ataques de extorsão. Esses ataques envolvem phishing por voz (vishing) e sites falsos de coleta de credenciais, visando obter acesso não autorizado a ambientes de empresas, especialmente em aplicações de software como serviço (SaaS). O objetivo final é roubar dados sensíveis e extorquir as vítimas. Os grupos estão sendo monitorados sob diferentes clusters, como UNC6661 e UNC6671, que têm se mostrado adaptáveis em suas táticas. A Mandiant recomenda que as empresas adotem medidas de segurança, como a implementação de autenticação multifatorial resistente a phishing e melhorias nos processos de suporte técnico. A situação destaca a eficácia da engenharia social e a necessidade de as organizações se protegerem contra essas ameaças emergentes.

Nos últimos anos, a dependência de provedores de SaaS (Software as a Service) e soluções em nuvem tem se mostrado arriscada para empresas que buscam resiliência cibernética. O modelo de ‘Shared Responsibility’ (Responsabilidade Compartilhada) entre as empresas e os provedores de serviços em nuvem não garante proteção total dos dados, como evidenciado por um aumento significativo nos incidentes de segurança. Em 2024, plataformas populares de DevOps, como GitHub e Jira, enfrentaram 502 incidentes, resultando em mais de 4.755 horas de inatividade. Em 2025, esse número saltou para 156 incidentes críticos, com mais de 9.255 horas de degradação de desempenho. A falta de uma estratégia de proteção de dados em múltiplas camadas e a dependência de backups nativos criam um ponto único de falha, expondo as empresas a riscos financeiros e operacionais significativos. Além disso, a pressão durante as interrupções pode levar a práticas inseguras, como o uso de Shadow IT, aumentando ainda mais os riscos de segurança. Para as empresas brasileiras, a situação é crítica, pois a inatividade pode resultar em perdas financeiras substanciais e danos à reputação, exigindo uma reavaliação das estratégias de cibersegurança e continuidade de negócios.

A ServiceNow divulgou uma falha de segurança crítica em sua plataforma AI, identificada como CVE-2025-12420, que permite a um usuário não autenticado se passar por outro usuário e realizar ações arbitrárias em seu nome. Com uma pontuação CVSS de 9.3, a vulnerabilidade foi corrigida em 30 de outubro de 2025, através de uma atualização de segurança aplicada à maioria das instâncias hospedadas. A empresa também compartilhou os patches com parceiros e clientes que utilizam a plataforma de forma autônoma. A falha foi descoberta por Aaron Costello, da AppOmni, e, embora não haja evidências de exploração ativa, a ServiceNow recomenda que os usuários apliquem as atualizações de segurança imediatamente para evitar possíveis ameaças. Essa divulgação ocorre após a AppOmni ter alertado sobre a possibilidade de ataques que exploram configurações padrão na plataforma Now Assist, permitindo que agentes maliciosos realizem injeções de comandos e acessem dados corporativos sensíveis. A situação destaca a importância de manter as plataformas atualizadas e seguras, especialmente em ambientes de SaaS.

Nos últimos anos, a integração de assistentes de inteligência artificial (IA) em aplicações SaaS, como Zoom, Slack e Microsoft 365, trouxe uma nova dinâmica ao gerenciamento de dados e segurança. Esses assistentes, que operam em alta velocidade e com privilégios elevados, criam caminhos de integração dinâmicos entre diferentes sistemas, o que desafia os modelos tradicionais de segurança que assumem interfaces fixas e papéis de usuário estáveis. A dificuldade em rastrear as ações desses agentes de IA, que muitas vezes se misturam aos logs de usuários normais, expõe vulnerabilidades significativas. Para mitigar esses riscos, as equipes de segurança precisam adotar uma abordagem de segurança dinâmica, que monitore e adapte as políticas em tempo real, garantindo visibilidade e auditabilidade das ações dos assistentes de IA. Essa nova camada de segurança deve ser capaz de detectar desvios de acesso e comportamentos anômalos, permitindo uma resposta proativa a incidentes. À medida que as organizações adotam copilotos de IA, é crucial que os líderes de segurança reavaliem suas estratégias para garantir que a inovação não comprometa a segurança dos dados.

Os ataques cibernéticos modernos estão se transformando, com a identidade se tornando o principal alvo dos criminosos. Em um cenário onde 75% das organizações enfrentaram incidentes relacionados a SaaS no último ano, a maioria envolvendo credenciais comprometidas, a segurança da identidade se torna crucial. Os atacantes utilizam inteligência artificial (IA) para imitar usuários legítimos, contornando controles de segurança e operando de forma discreta em ambientes confiáveis. A IA é empregada em várias etapas do ataque, desde a coleta de informações sobre funcionários até a geração de identidades sintéticas que dificultam a detecção. O uso de modelos de linguagem avançados permite que os criminosos criem campanhas de phishing mais sofisticadas e personalizadas. Além disso, a automação de processos de ataque, como a exploração de credenciais, torna as operações mais eficientes e direcionadas, aumentando a probabilidade de sucesso. Com a identidade se tornando a nova linha de defesa, as empresas precisam reavaliar suas estratégias de segurança para proteger dados críticos em plataformas SaaS.

Desde os anos 90, a entrega de aplicações e dados tem evoluído, levando as empresas a adotarem diferentes modelos de entrega, como Aplicações Locais, VDI (Infraestrutura de Desktop Virtual), SaaS (Software como Serviço) e DaaS (Desktop como Serviço). As Aplicações Locais, instaladas diretamente nos dispositivos dos usuários, oferecem controle total, mas exigem gestão de atualizações e apresentam riscos de segurança. O VDI centraliza a entrega de desktops e aplicações, melhorando a segurança e a gestão de atualizações, mas requer conectividade constante e habilidades especializadas. O SaaS, por sua vez, fornece aplicações via assinatura, facilitando a manutenção, mas pode complicar a migração de dados e reintroduzir desafios de segurança. O DaaS aplica o modelo de SaaS a ambientes de desktop completos, permitindo que as empresas escalem rapidamente sem gerenciar a infraestrutura. A tendência atual é a adoção de abordagens híbridas, combinando diferentes modelos para atender às necessidades específicas de cada organização. A pesquisa da Parallels indica que 85% das empresas utilizam SaaS, mas apenas 2% dependem exclusivamente dele, refletindo a complexidade das decisões de TI. Os líderes de TI devem considerar fatores como segurança, compliance, agilidade e custos ao escolher a combinação ideal de modelos de entrega.

O grupo de cibercriminosos conhecido como Storm-2657 está atacando organizações nos Estados Unidos, especialmente no setor de educação superior, com o objetivo de desviar pagamentos salariais para contas controladas pelos atacantes. Segundo um relatório da equipe de Inteligência de Ameaças da Microsoft, esses ataques não exploram falhas de segurança nas plataformas de software como serviço (SaaS), mas utilizam táticas de engenharia social e a falta de autenticação multifatorial (MFA) para assumir o controle das contas dos funcionários. Os atacantes têm utilizado e-mails de phishing para coletar credenciais e códigos MFA, acessando contas do Exchange Online e modificando perfis no Workday, uma plataforma de gestão de recursos humanos. Além disso, eles criam regras na caixa de entrada para ocultar notificações de mudanças não autorizadas, redirecionando pagamentos salariais para suas contas. A Microsoft identificou 11 contas comprometidas em três universidades, que foram usadas para enviar e-mails de phishing a quase 6.000 contas em 25 instituições. Para mitigar os riscos, recomenda-se a adoção de métodos de MFA resistentes a phishing, como chaves de segurança FIDO2, e a revisão de contas em busca de atividades suspeitas.

Em 2025, o uso de aplicações de software como serviço (SaaS) é comum entre as empresas, mas a segurança dessas plataformas depende de pequenos dados chamados tokens, como tokens de acesso OAuth e chaves de API. O roubo de tokens tem se mostrado uma das principais causas de violações de segurança em ambientes SaaS, permitindo que cibercriminosos acessem sistemas sem a necessidade de senhas, mesmo contornando medidas como a autenticação multifator (MFA). Incidentes recentes, como os ataques à Slack e CircleCI, evidenciam como um único token comprometido pode resultar em acessos não autorizados e vazamentos de dados. A proliferação de SaaS, muitas vezes chamada de ‘SaaS sprawl’, contribui para a dificuldade em monitorar e gerenciar essas integrações, criando uma superfície de ataque não governada. Para mitigar esses riscos, as empresas devem adotar práticas de higiene de tokens, como manter um inventário de aplicativos OAuth, impor processos de aprovação para novas integrações e monitorar a atividade dos tokens. A falta de visibilidade e controle sobre tokens e integrações pode levar a consequências graves, tornando essencial que as equipes de segurança implementem medidas proativas para proteger suas infraestruturas SaaS.

A adoção de Inteligência Artificial (IA) nas empresas está em rápida ascensão, com ferramentas de IA generativa sendo integradas a diversas funções, como marketing, desenvolvimento e recursos humanos. Essa transformação traz inovação e eficiência, mas também novos riscos que precisam ser geridos. Entre os principais desafios estão a ’expansão da IA’, onde funcionários utilizam ferramentas sem supervisão de segurança, e as vulnerabilidades na cadeia de suprimentos, que aumentam a superfície de ataque. Além disso, o compartilhamento de dados sensíveis com serviços de IA externos levanta preocupações sobre vazamentos e uso indevido de informações. Para mitigar esses riscos, é necessário um novo paradigma de segurança que inclua descoberta contínua, monitoramento em tempo real e avaliação adaptativa de riscos. A Wing Security se destaca nesse cenário, oferecendo visibilidade e controle sobre a utilização de aplicações de IA, permitindo que as empresas inovem com segurança, reduzindo a exposição a ataques e garantindo conformidade regulatória. Essa abordagem transforma a segurança em um facilitador de negócios, permitindo que as organizações adotem ferramentas de IA de forma responsável e segura.

Um relatório do MIT revelou que 40% das organizações adquiriram assinaturas de LLMs empresariais, mas mais de 90% dos funcionários utilizam ferramentas de IA no dia a dia. A pesquisa da Harmonic Security indica que 45,4% das interações sensíveis com IA ocorrem em contas de e-mail pessoais, o que levanta preocupações sobre a chamada ‘Economia de IA Sombra’. Essa situação ocorre porque a adoção de IA é impulsionada pelos funcionários, e não por diretrizes corporativas. Muitas empresas tentam bloquear o acesso a plataformas de IA, mas essa estratégia falha, pois a IA está integrada em quase todos os aplicativos SaaS. Para mitigar riscos, as equipes de segurança precisam entender e governar o uso de IA, tanto em contas autorizadas quanto não autorizadas. A descoberta da IA Sombra é essencial para manter a conformidade regulatória e proteger dados sensíveis. A Harmonic Security oferece soluções para monitorar o uso de IA e aplicar políticas de governança adequadas, permitindo que as empresas se beneficiem da produtividade da IA, enquanto protegem suas informações.

Uma nova campanha de ciberataques foi identificada pela empresa de cibersegurança Darktrace, onde hackers utilizaram a infraestrutura de Servidores Privados Virtuais (VPS) para comprometer contas de Software como Serviço (SaaS) em diversos ambientes de clientes. A investigação, realizada em maio de 2025, revelou que os atacantes se aproveitaram de provedores de VPS, como Hyonix e Host Universal, para contornar controles de segurança tradicionais e manter acesso persistente a contas de e-mail comprometidas.