Um grupo de cibercriminosos afirmou ter obtido quase 1 bilhão de registros de dados relacionados à Salesforce, gigante global de soluções em nuvem. A empresa, por sua vez, nega qualquer invasão em seus sistemas.
Os criminosos, que se identificam como “Scattered LAPSUS Hunters”, disseram à agência Reuters que os dados incluem informações pessoais sensíveis. O grupo já havia assumido responsabilidade por ataques recentes contra grandes marcas britânicas como Marks & Spencer, Co-op e Jaguar Land Rover.
Segundo um hacker que se apresentou como Shiny, a Salesforce não foi diretamente invadida. O golpe, na verdade, teria explorado clientes da empresa por meio de “vishing” – uma técnica de engenharia social em que criminosos se passam por funcionários de suporte técnico em chamadas telefônicas.
A Salesforce divulgou nota afirmando que não há indícios de comprometimento em sua plataforma, nem de falhas conhecidas exploradas pelos atacantes.
Dark web e lista de vítimas
Na sexta-feira (3), os hackers publicaram um site na dark web onde listaram cerca de 40 empresas que alegam ter hackeado. Ainda não está claro se todas essas companhias são clientes da Salesforce.
A dúvida sobre possível negociação de resgate entre as partes permanece, já que tanto a empresa quanto os criminosos se recusaram a comentar.
Pesquisadores do Google Threat Intelligence Group já haviam alertado em junho que o mesmo grupo, rastreado como UNC6040, se mostrava extremamente eficiente em enganar funcionários para instalar versões adulteradas de ferramentas da Salesforce, como o Data Loader (usado para importação em massa de dados).
Os especialistas também identificaram conexões técnicas entre os ataques e uma comunidade cibercriminosa mais ampla, conhecida como “The Com”, famosa por abrigar grupos pequenos e desorganizados que atuam em golpes digitais – e, em alguns casos, até violentos.
Em julho, a polícia britânica chegou a prender quatro suspeitos com menos de 21 anos em uma operação ligada a ataques que afetaram grandes redes de varejo no Reino Unido.
No fim, os criminosos não precisaram “quebrar” a Salesforce. Eles atacaram o elo mais fraco: os usuários e empresas que confiam na plataforma. É aquele velho ditado da cibersegurança: não adianta ter um cofre blindado se alguém entrega a chave pelo telefone.
