Mais de uma dezena de empresas sofreu ataques de roubo de dados após a invasão de um provedor de integração SaaS, que teve tokens de autenticação furtados.
Embora diversos fornecedores de cloud storage e SaaS tenham sido alvo do uso desses tokens roubados, foi apurado que a maioria dos ataques mirou a plataforma de data warehouse em nuvem Snowflake.
A Snowflake confirmou a ocorrência de “atividade incomum” e informou que um pequeno número de clientes foi impactado.
“Recentemente, detectamos atividade incomum em um pequeno número de contas de clientes da Snowflake vinculadas a uma integração específica de terceiros”, disse a empresa.
“Imediatamente iniciamos uma investigação e, por precaução, bloqueamos contas de clientes possivelmente afetadas. Também notificamos os clientes em potencial risco e fornecemos orientações preventivas para ajudá-los a proteger ainda mais suas contas.”
A Snowflake destacou que os ataques não envolveram nenhuma vulnerabilidade nem comprometimento de seus sistemas.
Como parte dessas ações, o threat actor teria tentado usar os tokens de autenticação roubados para extrair dados do Salesforce, mas foi detectado antes de obter sucesso.
Embora a Snowflake não tenha confirmado qual parceiro de integração terceirizada estava ligado aos ataques, foi apurado por diferentes fontes que a origem do incidente estaria em uma ocorrência de segurança na empresa de detecção de anomalias de dados Anodot.
A Anodot é uma empresa de analytics baseada em IA que oferece detecção de anomalias em tempo real para dados operacionais e de negócios, ajudando organizações a identificar automaticamente mudanças incomuns em receita, transações e desempenho de sistemas com machine learning.
A empresa foi adquirida pela Glassbox em novembro de 2025.
Também foi informado que várias empresas estariam sendo extorquidas pelo grupo ShinyHunters, que exige pagamentos de resgate para evitar a divulgação dos dados roubados.
Após a repercussão dos ataques, o grupo ShinyHunters confirmou envolvimento e afirmou ter roubado dados de dezenas de empresas na última sexta-feira.
O grupo também confirmou a tentativa de invasão ao Salesforce, mas disse que foi bloqueado por mecanismos de detecção baseados em IA.
A tentativa frustrada ocorre em meio a uma onda de ataques de roubo de dados que, ao longo do último ano, têm atingido clientes do Salesforce.
Os criminosos também alegaram que o ataque teve origem em um incidente de segurança na Anodot, sugerindo que mantinham acesso à empresa havia algum tempo.
O threat actor compartilhou algumas das empresas supostamente afetadas pelo incidente, mas os nomes não foram divulgados sem confirmação independente.
Até agora, apenas uma empresa, a Payoneer, respondeu, afirmando que tinha conhecimento da violação no integrador, mas não foi impactada.
“Temos conhecimento de um incidente de segurança envolvendo um provedor de serviço terceirizado, a Anodot. Com base em nossa análise, a Payoneer não foi impactada”, disse a empresa em nota.
O Google Threat Intelligence Group, que vem acompanhando muitas das campanhas de roubo de dados deste ano, também confirmou que está ciente do incidente e o monitora, mas não tem mais informações para compartilhar no momento.
Foram feitas tentativas de contato com a Anodot e sua controladora, a Glassbox, mas não houve resposta até o momento.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...