- ShinyHunters relata roubo de dados do Salesforce Aura
- Os invasores exploraram permissões de usuário convidado mal configuradas
- Cerca de 100 organizações respeitáveis foram afetadas
Os notórios operadores de ransomware ShinyHunters alegaram estar por trás do ataque de roubo de dados do Salesforce Aura e alertaram sobre mais ataques por vir.
A partir de setembro de 2025, os invasores passaram vários meses examinando uma instância pública do Salesforce Experience Cloud, uma plataforma que permite às organizações construir portais da web diretamente conectados aos seus dados do Salesforce CRM.
Para a digitalização, eles usaram uma versão modificada do AuraInspector, uma ferramenta de detecção de configuração incorreta originalmente desenvolvida pela Mandiant. A ferramenta investigou endpoints de API expostos para identificar portais onde perfis de usuários convidados tinham permissões excessivas.
O artigo continua abaixo
Prévia da pesquisa
Depois de identificar os sites vulneráveis, os invasores usaram uma ferramenta personalizada separada, a ferramenta personalizada sem nome, para contornar os limites de registro de usuários convidados e extrair dados do Salesforce CRM sem autenticação. As informações roubadas, incluindo nomes e números de telefone, foram usadas para rastreamento de engenharia social e campanhas de phishing de voz.
Falando registroUm porta-voz do coletivo de hackers confirmou que cerca de 100 organizações importantes foram afetadas por esta campanha:
“Eles roubaram dados da Snowflake, Okta, Lastpass, da própria Salesforce, Sony, AMD e muitos mais”, disse a pessoa. A renovação e operação “está em curso há vários meses”, acrescentaram.
No fim de semana passado, a Salesforce alertou os clientes sobre um “conhecido grupo de atores de ameaças” que estava investigando ativamente sites do Experience Cloud voltados para o público. Ele não quis dizer quantas empresas foram vítimas, nem quantos dados foram roubados, mas disse que os criminosos não exploram nenhuma vulnerabilidade:
“Esse problema não é uma vulnerabilidade inerente à plataforma Salesforce, mas sim aos sites do Experience Cloud, onde um perfil de usuário convidado foi configurado inadvertidamente com permissões excessivamente amplas”, disse um representante.
No entanto, a equipe aparentemente disse CyberInsider estava explorando um bug no produto. “No entanto, decidiram não divulgar detalhes sobre o erro até o final da fase de exploração”, diz a publicação.
Até agora, os ShinyHunters acima mencionados estão calados, exceto o LastPass, que disse estar investigando as reivindicações.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
