Google confirmou nesta sexta-feira, 21, que hackers roubaram dados armazenados na Salesforce pertencentes a mais de 200 empresas, em um ataque em larga escala que explorou brechas em integrações de terceiros. A empresa identificou ao menos 200 instâncias potencialmente afetadas no ambiente corporativo da Salesforce, segundo informou Austin Larsen, analista principal do Google Threat Intelligence Group.

O ataque teve origem em aplicativos da Gainsight, plataforma de atendimento ao cliente que funciona como conector entre sistemas corporativos, e que foi comprometida após uma tentativa anterior contra usuários da Salesloft, empresa que opera a ferramenta de marketing Drift, voltada a automação com IA e chatbots.

A ação foi reivindicada no Telegram pelo coletivo Scattered Lapsus$ Hunters, que reúne grupos como ShinyHunters, Scattered Spider e Lapsus$. Os hackers afirmam ter acessado dados de companhias como Atlassian, Docusign, GitLab, Linkedin, F5, SonicWall, Thomson Reuters e Verizon. A Salesforce declarou não haver indício de falha própria na plataforma, atribuindo o incidente às conexões externas dos aplicativos comprometidos.

Algumas empresas citadas responderam publicamente. A CrowdStrike afirmou que seus sistemas não foram afetados e disse ter demitido um “insider suspeito”, acusado de repassar informações aos invasores. Já a Malwarebytes disse estar “ciente” das ocorrências envolvendo Gainsight e Salesforce e conduz investigação interna. Outras companhias não comentaram até o fechamento deste texto.

No Telegram, o Scattered Lapsus$ Hunters disse que lançará um site para extorsão de vítimas ainda nesta semana — tática que o coletivo repete desde outubro, quando criou uma página semelhante para pressionar empresas afetadas pelo roubo de dados vinculados à Salesloft.

Posicionamento da Docusign

A Docusign, plataforma de assinaturas digitais usada amplamente por empresas, negou ter tido dados comprometidos. A companhia afirmou ter interrompido preventivamente suas conexões com os aplicativos envolvidos no ataque.

“Estamos cientes da alegação feita pelo ShinyHunters. Após uma análise completa dos registros e investigação interna, não há indício de comprometimento de dados da Docusign até o momento. Por precaução, encerramos todas as integrações com a Gainsight e contivemos o fluxo de dados relacionado. Continuamos monitorando ativamente qualquer atividade suspeita e estamos colaborando com a Salesforce caso surjam novas informações”, afirmou a empresa, em nota à reportagem.

A Docusign acrescentou ainda que desconectou preventivamente seu ambiente da Drift, mencionada no ataque, em setembro.