Entre 12 e 17 de agosto de 2025, a Cloudflare, gigante de segurança cibernética com sede em San Francisco, viu sua instância da Salesforce ser invadida por meio de credenciais roubadas de um chatbot de IA da Salesloft Drift. O ataque, conduzido pelo grupo UNC6395 — vinculado ao ShinyHunters — não foi um golpe direto, mas uma invasão por cadeia de suprimentos: um dos parceiros de suporte da Cloudflare se tornou a porta dos fundos. A descoberta veio apenas em 23 de agosto, mas o dano já estava feito: centenas de organizações globais foram afetadas, e dados sensíveis de clientes foram expostos — não nos servidores internos, mas nas caixas de suporte da Salesforce, onde clientes, em boa-fé, compartilharam senhas, tokens e chaves de acesso.
O que aconteceu, passo a passo?
No dia 9 de agosto, às 11:51 UTC, os invasores começaram a investigar o ambiente da Cloudflare. Em 12 de agosto, às 22:14 UTC, usaram um token OAuth roubado da integração entre o Drift e a Salesforce — originado do IP 44.215.215.108.109 — para entrar no sistema. Não precisaram de phishing, nem de senhas fracas. Eles exploraram uma falha de confiança: a integração automática entre ferramentas de suporte e CRM. A partir daí, começaram a mapear os objetos de suporte da Salesforce, usando o endpoint /sobjects/Case/describe/ para entender a estrutura dos dados. Em seguida, executaram uma consulta massiva, colhendo centenas de milhares de registros de casos de suporte.
Os dados roubados incluíam nome da empresa, e-mail, telefone, domínio e país — tudo padrão. Mas o perigo real estava nas conversas de suporte: trechos de chat onde clientes, tentando resolver problemas, colavam chaves da AWS, tokens do Snowflake, até credenciais de API. A Cloudflare insiste que nunca pede essas informações — mas os clientes, por desatenção ou pressa, ainda assim as enviavam. Foram 104 tokens de API comprometidos. E o pior? Nenhum uso malicioso foi detectado ainda. Mas isso não significa que não vai acontecer.
Outras vítimas e o padrão se repete
A Cloudflare não estava sozinha. No mesmo dia, a Proofpoint, de Sunnyvale, confirmou que seu ambiente da Salesforce também foi invadido pelo mesmo método. Em seguida, vieram os nomes pesados: Palo Alto Networks, Zscaler, PagerDuty e Tanium. Todos tinham o mesmo ponto fraco: o Drift da Salesloft. A própria Salesloft admitiu, em comunicado, que o objetivo principal dos invasores era roubar credenciais de nuvem — especialmente chaves de acesso da AWS e do Snowflake, ferramentas críticas para empresas de tecnologia.
Isso não é isolado. Em junho de 2025, o grupo ShinyHunters já havia invadido o Salesforce do Google por meio de vishing — ligações falsas disfarçadas de suporte técnico. Agora, a tática evoluiu: em vez de enganar pessoas, eles enganam sistemas. Eles não precisam de senhas fortes. Precisam apenas de uma integração mal configurada, um token esquecido, uma permissão exagerada.
A resposta da Cloudflare: mais do que corrigir, reinventar
Quando descobriram o ataque, os executivos da Cloudflare não hesitaram. Desativaram imediatamente a integração com o Drift. Rotacionaram todos os 104 tokens comprometidos — mesmo sem evidência de uso. Desconectaram todas as integrações de terceiros com a Salesforce. E, o mais importante, passaram a exigir autenticação de dois fatores obrigatória para qualquer acesso externo. Em um blog publicado em 2 de setembro, admitiram: “Somos responsáveis pelas ferramentas que usamos para apoiar nosso negócio. Por isso, nos desculpamos sinceramente.”
Essa humildade é rara. Muitas empresas culpam o parceiro. A Cloudflare assumiu a culpa. E isso é o que faz a diferença. Porque o problema não é o Drift. O problema é que empresas confiam demais em integrações automáticas — e esquecem que cada conexão é uma porta.
Por que isso importa para você?
Se sua empresa usa Salesforce com qualquer chatbot, assistente de suporte ou ferramenta de terceiros, você está em risco. Não porque o software é ruim — mas porque a confiança cega é a maior vulnerabilidade. Especialistas da Seqrite apontam que as técnicas usadas por UNC6395 se sobrepõem às de outro grupo, o UNC6040, que já atacou empresas por vishing. Ou seja: a mesma estratégia, apenas com uma nova entrada. Ainda em agosto, o INCIBE-CERT alertou que pequenas e médias empresas estavam sendo alvo de ataques semelhantes no Brasil e na Europa. O padrão é claro: invadir por dentro, usando o que a empresa já acredita ser seguro.
A Cloudflare não perdeu seus servidores. Não teve ransomware. Mas perdeu a confiança — e isso é mais caro. Clientes que compartilharam chaves de API em chats de suporte agora precisam trocar tudo. E não é só uma senha. É uma cultura de segurança que precisa mudar.
O que vem a seguir?
Em outubro, a Salesforce deve lançar novas restrições para integrações OAuth de terceiros, exigindo revisão manual e limites de permissão mais rígidos. A própria Salesloft anunciou que está revisando todos os seus conectores com clientes corporativos. Mas isso não basta. As empresas precisam de auditorias contínuas de integrações — não apenas quando algo dá errado. E precisam treinar suas equipes de suporte: nunca compartilhar credenciais em chats, mesmo que o sistema pareça seguro.
Este ataque não foi um acidente. Foi um sinal. Um aviso de que a segurança do futuro não está nos firewalls, mas nas conexões que deixamos abertas — e esquecidas.
Frequently Asked Questions
Como eu sei se minha empresa foi afetada por esse ataque?
Se sua empresa usava a Cloudflare, Proofpoint, Palo Alto Networks, Zscaler, PagerDuty ou Tanium e compartilhou dados de suporte via chatbot entre 12 e 17 de agosto de 2025, há risco. A Cloudflare notificou clientes diretamente, mas outras empresas ainda estão investigando. Revise seus registros de suporte: se já enviou tokens, senhas ou chaves de API em conversas com suporte técnico, troque imediatamente. Não espere um e-mail.
O Drift da Salesloft é inseguro?
Não — o problema não é o chatbot em si, mas como ele foi configurado. Muitas empresas deram permissões excessivas a integrações de terceiros, sem monitoramento. O Drift funciona bem quando usado com restrições rigorosas. O erro foi de quem o conectou, não de quem o fez. A Salesloft já está corrigindo isso, mas a responsabilidade final é da empresa que integra.
Quais dados foram realmente expostos?
Apenas informações contidas nos casos de suporte da Salesforce: nome da empresa, e-mail, telefone, domínio e país. Mas o perigo real está nos trechos de texto das conversas — onde clientes, por descuido, colaram chaves de acesso da AWS, tokens do Snowflake e até senhas de bancos de dados. Esses dados não são armazenados pela Cloudflare, mas foram expostos porque foram enviados pelos próprios clientes.
Por que demorou tanto para a Cloudflare anunciar o ataque?
Porque os invasores não deixaram rastros claros. Eles não mexeram em servidores internos, não instalaram malware. Só acessaram dados de suporte — algo que parece inofensivo. A Cloudflare só descobriu o ataque em 23 de agosto, após alertas externos. Foi preciso uma investigação forense minuciosa para encontrar o ponto de entrada. Isso mostra como ataques sutis são mais difíceis de detectar que os tradicionais.
Como evitar que isso aconteça com minha empresa?
Revise todas as integrações de terceiros com sua Salesforce. Exija autenticação de dois fatores, limite permissões de acesso e monitore logs de API. Treine sua equipe de suporte: nunca compartilhe credenciais em chats, mesmo que pareçam seguros. E exija que parceiros façam o mesmo. A segurança não é um produto — é um hábito.
Esse ataque é parte de uma tendência maior?
Sim. Em 2025, ataques a integrações de nuvem cresceram 300% segundo a Kaspersky. Atacantes estão deixando de invadir servidores e começando a invadir confiança. Se você confia em um parceiro, eles confiam em você. Eles não precisam de força bruta — só de uma conexão mal configurada. Esse é o novo front da cibersegurança.
