É prática padrão para as equipes de segurança de grandes organizações fazerem uma diligência significativa sobre seus fornecedores de software. Eles normalmente procuram a adesão aos princípios de Segurança por design, conformidade com as normas de privacidade de dados e até mesmo fatores como fazer verificações de antecedentes dos engenheiros que codificam o aplicativo, entre outros.
Assim como nas cadeias de suprimentos físicas, geralmente não é o fornecedor principal que causa um problema, mas sim os fornecedores de um fornecedor. Isso parece ser o que aconteceu na violação de dados que afeta o Salesforce por meio de sua integração com o agente de chat de IA do Salesloft, Drift.
Violação da plataforma e extração de dados
Do início à metade de agosto de 2025, invasores violaram a plataforma da Salesloft para roubar tokens OAuth e de atualização (refresh tokens) através da integração da Drift com a Salesforce. Em seguida, os invasores usaram esses tokens para acessar as instâncias de clientes do Salesforce e extrair dados como contatos e informações de casos de suporte.
Exemplos do tipo de dados roubados incluem:
- Nomes
- Endereços de e-mail comerciais
- Telefones comerciais
- Cargos
- Detalhes regionais/de localização
- Conteúdo de determinados casos de suporte
A violação inicial agora está causando uma onda de violações para os clientes da Salesforce. A evidência mostra que os invasores estão usando os dados extraídos para encontrar credenciais para outros sistemas para que possam se infiltrar ainda mais nas organizações.
Nenhuma plataforma da Akamai estava envolvida
A Akamai também investigou esse incidente para determinar se os invasores conseguiram usar indevidamente tokens OAuth para acessar nossa instância do Salesforce. Descobrimos que apenas um conjunto limitado de dados em tíquetes de suporte de serviço armazenados havia sido exposto.
A razão para a pouca exposição da Akamai é a exclusão automatizada de dados pessoais e outros dados confidenciais em tíquetes de suporte 120 dias após o fechamento do tíquete como parte dos padrões de privacidade e segurança da Akamai por definição. Além disso, não encontramos sinais de possível uso indevido desses dados. Notificamos os clientes afetados sobre o incidente.
Este evento foi restrito ao Salesforce. Não foram envolvidas plataformas, sistemas de rede ou serviços de produção da Akamai. Nenhum dado de tráfego de clientes processado nas plataformas Akamai foi afetado. A integração afetada foi usada apenas no Salesforce e foi removida desde então.
Práticas recomendadas a serem consideradas
Ao tentar proteger sua organização contra riscos da cadeia de suprimentos de software como este, é importante aplicar uma abordagem em camadas para mitigar ataques potenciais e conter rapidamente quaisquer que ocorram. Também é essencial compreender a postura de segurança da organização para encontrar quaisquer lacunas e possíveis formas que um risco da cadeia de suprimentos possa escapar das proteções existentes.
Para ajudar a proteger quaisquer lacunas que possam existir, considere as seguintes proteções em camadas para APIs e aplicações AI/LLM (como o chatbot Drift):
- Microssegmentação
- Firewall de aplicações web
- Segurança de APIs
- Proteção no lado do cliente
- Gerenciamento de bots
- Proteção contra apropriação indevida de contas
Microssegmentação
A microsegmentação deve ser uma prioridade em qualquer modelo de segurança em camadas, pois reduz diretamente o impactos da cadeia de fornecimento e das violações orientadas por API. Ao isolar aplicações, workloads e integrações, como chatbots de IA, em zonas rigidamente controladas, ela limita a movimentação do invasor e reduz o raio de ataque de um incidente.
Isso significa que, mesmo se tokens roubados ou APIs vulneráveis forem explorados, o comprometimento é contido, os sistemas críticos permanecem protegidos e as equipes de resposta ganham visibilidade clara para identificar a ameaça e agir mais rapidamente. Ele transforma uma possível crise em toda a organização em um evento controlado e gerenciável, protegendo as operações, reduzindo o tempo de inatividade e reforçando o Zero Trust onde mais importa.
Firewall de aplicações web
Um Firewall de aplicações da Web (WAF) fornece a base de segurança para a defesa contra ameaças modernas. A forte tecnologia WAF atualiza continuamente e ajusta as proteções para detetar anomalias nos padrões de tráfego e ajudar a identificar comportamentos inconsistentes com o uso normal da aplicação.
Um WAF com a capacidade de avaliar a confiabilidade das fontes de solicitação permite que as organizações bloqueiem o tráfego de IPs conhecidos como mal-intencionados ou suspeitos. Registros e visibilidade abrangentes fornecem o contexto de que as equipes de segurança precisam para investigar incidentes e coordenar com proteções adicionais.
Segurança de APIs
As proteções específicas da API poderiam ter ajudado as empresas a detectar esse ataque identificando o comportamento anômalo associado aos tokens OAuth comprometidos. Embora o invasor estivesse usando credenciais válidas, seus padrões de atividade — como a execução de consultas em massa em APIs da Salesforce, o acesso a dados por endereços IP incomuns e a tentativa de excluir ações para cobrir seus rastros — teriam se desviado dos parâmetros de uso normal.
A análise comportamental e o monitoramento contínuo da Akamai são projetados para sinalizar esses tipos de irregularidades em tempo real, permitindo que as equipes de segurança investiguem e respondam rapidamente antes que grandes volumes de dados confidenciais possam ser exfiltrados.
Proteção no lado do cliente
Quando as aplicações usam scripts ou agentes para passar informações de um lado para o outro no navegador, é crucial ser capaz de detectar mudanças nos scripts. O script está pedindo informações que normalmente não pede? Um inventário de todos os scripts e uma maneira de sinalizar alterações de script podem impedir esses tipos de ataques.
Gerenciamento de bots
Uma forte detecção de bots e um gerenciamento de bots é importante, pois os bots de IA/LLM são exatamente isso: bots. É especialmente crítico para bots conhecidos, como o chatbot Drift, para o qual as soluções de gerenciamento de bots pode usar a assinatura e outras caraterísticas definidoras para determinar se o bot é legítimo ou um imitador, e se o bot está demonstrando comportamentos arriscados em comparação com seu comportamento de linha de base.
Proteção contra apropriação indevida de contas
Embora estejamos falando de uma identidade não humana (a identidade do bot da Drift) nesse caso, as soluções de proteção contra a apropriação indevida de contas são projetadas para detectar o uso de credenciais válidas por alguém que não seja o proprietário legítimo da conta.
A atribuição de uma pontuação de risco ao login pode impedir que o invasor obtenha acesso, e o monitoramento do comportamento da sessão pode detetar um comportamento arriscado e encerrar a sessão se o invasor conseguir acesso.
Proteção de aplicações de IA
As aplicações impulsionadas por IA generativa são cada vez mais reconhecidas como vulnerabilidades empresariais expostas. Se um invasor tiver acesso à aplicação de IA, ele poderá manipular essa aplicação ou alterar suas barreiras para dar respostas maliciosas ou tóxicas a prompts de usuários, bem como extrair informações diretamente da aplicação. As proteções específicas de IA são uma abordagem em camadas importante para proteger aplicações de IA.
Aplique uma abordagem de segurança em camadas
As organizações provavelmente nunca terão os recursos para realizar a devida diligência em todos os fornecedores de sua cadeia de fornecimento de software. E, mesmo que encontrem algumas vulnerabilidades, provavelmente seria impraticável evitar o uso de alguns dos principais fornecedores de software ou pedir que esses fornecedores mudassem seus parceiros de tecnologia.
Como resultado, a solução mais realista é a utilização de uma abordagem de segurança multicamada para a proteção contra violações de cadeias de fornecimento.
Tags
