O grupo de extorsão ShinyHunters assumiu a responsabilidade por uma campanha de roubo de dados que visa instâncias da plataforma Experience Cloud, da Salesforce. A quadrilha afirma ter comprometido entre 300 e 400 empresas, muitas delas do setor de cibersegurança, explorando configurações que expõem dados de usuários convidados. A Salesforce confirmou a atividade maliciosa e emitiu um comunicado nesta semana orientando os clientes sobre como se defender.
Ferramenta modificada e exploração de APIs
De acordo com a Salesforce, os atacantes estão utilizando uma versão modificada do AuraInspector, uma ferramenta de auditoria de código aberto desenvolvida pela Mandiant, para realizar varreduras em massa em sites públicos que utilizam a Experience Cloud. O alvo é o endpoint de API /s/sfsites/aura em instâncias mal configuradas que concedem permissões excessivas a usuários convidados. “A Salesforce permanece segura, e este problema não se deve a qualquer vulnerabilidade inerente à nossa plataforma”, afirmou a empresa em um comunicado, atribuindo a falha a configurações realizadas pelos próprios clientes.
Ações imediatas para conter o vazamento
A empresa de tecnologia recomenda que os administradores auditorem as permissões de usuários convidados e adotem o princípio do menor privilégio. Entre as ações urgentes sugeridas estão desabilitar o acesso de convidados a APIs públicas e remover a configuração “API Enabled” do perfil de visitante. A Salesforce orienta ainda a revisão de logs de monitoramento do Aura para identificar padrões de acesso incomuns, como consultas a objetos que não deveriam ser públicos, e a designação de um contato de segurança para alertas rápidos.
Novos métodos de ataque em disputa
O ShinyHunters alega ter descoberto uma nova vulnerabilidade que permite o roubo de dados mesmo em instâncias configuradas corretamente, após a Salesforce ter corrigido um método anterior que burlava o limite de consulta de 2.000 registros. O grupo afirma estar explorando a nova falha de forma discreta. Em resposta, a Salesforce reiterou que não há vulnerabilidade em sua plataforma, mas sim más configurações por parte dos clientes.






