Workiva, um importante provedor de SaaS (Software as a Service) baseado em nuvem, notificou seus clientes sobre um incidente em que atacantes que obtiveram acesso a um sistema de CRM (Customer Relationship Management) de terceiros roubaram alguns dados.
O software em nuvem da empresa auxilia na coleta, conexão e compartilhamento de dados para relatórios financeiros, compliance e auditorias.
Ao final do ano passado, a Workiva possuía 6.305 clientes e registrou receitas de 739 milhões de dólares em 2024.
Entre seus clientes estão 85% das empresas listadas na Fortune 500, além de grandes nomes como Google, T-Mobile, Delta Air Lines, Wayfair, Hershey, Slack, Cognizant, Santander, Nokia, Kraft Heinz, Wendy's, Paramount, Air France KLM, Mercedes-Benz, entre outros.
De acordo com uma notificação privada por e-mail enviada aos clientes afetados da Workiva na semana passada, vista pelo site BleepingComputer, os atores de ameaça exfiltraram um conjunto limitado de informações comerciais de contato, incluindo nomes, endereços de e-mail, números de telefone e conteúdo de tickets de suporte.
“Este incidente é semelhante a eventos recentes que atingiram várias grandes organizações.
Importante destacar que a plataforma Workiva e quaisquer dados dentro dela não foram acessados ou comprometidos”, explicou a empresa.
Nosso fornecedor de CRM nos informou sobre o acesso não autorizado via uma aplicação de terceiros conectada.
A Workiva também alertou os clientes impactados para que permaneçam vigilantes, pois as informações roubadas podem ser usadas em ataques de spear-phishing.
“A Workiva jamais entrará em contato por texto ou telefone para solicitar senhas ou quaisquer outros dados sensíveis. Todas as comunicações da Workiva ocorrem por nossos canais oficiais de suporte”, afirmou a empresa.
Embora a Workiva não tenha compartilhado mais detalhes sobre este ataque, o site BleepingComputer apurou que este incidente faz parte da recente onda de vazamentos de dados no Salesforce, ligados ao grupo de extorsão ShinyHunters, que afetou diversas empresas de grande perfil.
Mais recentemente, a Cloudflare divulgou que precisou rotacionar 104 tokens emitidos pela plataforma Cloudflare, roubados pelos atores do ShinyHunters, que tiveram acesso à instância do Salesforce usada para suporte ao cliente e gestão interna de casos em meados de agosto.
Desde o começo do ano, o grupo ShinyHunters vem mirando clientes do Salesforce em ataques de roubo de dados usando voice phishing (vishing), impactando empresas como Google, Cisco, Allianz Life, Farmers Insurance, Workday, Qantas, Adidas e subsidiárias da LVMH, incluindo Dior, Louis Vuitton e Tiffany & Co.
Mais recentemente, o grupo de extorsão passou a utilizar tokens OAuth roubados para a integração do chat Drift AI da Salesloft com o Salesforce, conseguindo acessar instâncias de clientes no Salesforce e extrair informações sensíveis, como senhas, chaves de acesso AWS e tokens do Snowflake, a partir de mensagens de clientes e tickets de suporte.
Com essa técnica, o ShinyHunters também conseguiu acessar um pequeno número de contas Google Workspace, além de roubar dados do CRM Salesforce e invadir as instâncias Salesforce das empresas de cibersegurança Zscaler e Palo Alto Networks.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...