Press Release: Incidente expõe falhas críticas na segurança entre aplicações SaaS e integrações com Salesforce. Conheça as soluções da Check Point que ajudam a prevenir acessos indevidos, exfiltração de dados e falhas de integração.
Um dos maiores receios dos responsáveis de TI tornou-se realidade: um ataque sofisticado explorou tokens OAuth legítimos da integração do chatbot Drift (Salesloft) com a plataforma Salesforce, tendo permitido a extração silenciosa de dados de clientes a partir do popular CRM, segundo revelou a equipa de Threat Intelligence da Google. Este incidente veio expor uma falha crítica que muitas equipas de segurança nem sequer sabiam que existia.
Quando as integrações SaaS se tornam vetores de ataque
Entre os dias 8 e 18 de agosto de 2025, o grupo de ciberameaças identificado pela Google como UNC6395 explorou a ligação baseada em OAuth entre o Drift e o Salesforce — uma integração usada diariamente por milhares de equipas comerciais para sincronizar conversas e dados de leads.
Os atacantes exploraram um facto essencial sobre a realidade digital atual: os negócios funcionam com base em integrações SaaS, e não apenas em aplicações isoladas.
Os tokens OAuth funcionam como chaves digitais entre aplicações SaaS. Uma vez comprometidos, permitem acesso contínuo sem gerar alertas de autenticação de utilizador.
O que tornou este ataque especialmente problemático foi o uso de ferramentas legítimas, sem padrões de login anómalos ou downloads suspeitos — apenas chamadas API aparentemente normais, utilizando tokens válidos.
A Salesloft e a Salesforce revogaram todos os tokens ativos e de atualização associados à aplicação Drift. A Salesforce removeu ainda a aplicação da sua AppExchange enquanto decorre a investigação.
O risco invisível das integrações SaaS-to-SaaS
As ferramentas tradicionais de segurança SaaS concentram-se em padrões de acesso do utilizador ou localização de login. Mas ignoram muitas vezes o cenário real: os dados mais sensíveis da organização circulam hoje entre diferentes aplicações SaaS.
Numa equipa de vendas típica, por exemplo, o Drift comunica com o Salesforce, que se liga ao HubSpot, que se integra com o Slack e sincroniza com o Google Workspace. Cada ligação utiliza tokens OAuth que permitem a uma aplicação agir em nome da outra.
Estes pontos de integração criam vulnerabilidades onde o compromisso de um único token pode abrir portas a acessos muito além do previsto. Um atacante que comprometa uma integração de marketing poderá aceder a registos de clientes, dados financeiros ou comunicações internas.
A maioria das soluções foca-se em conexões do utilizador com a aplicação. Conseguem identificar quando um CFO entra a partir de um país diferente ou tenta descarregar um ficheiro não autorizado — mas podem falhar completamente quando um token de integração começa a exportar bases de dados.
Integrações sob vigilância: o que este ataque nos ensina
O incidente Drift–Salesforce é um caso de estudo claro sobre como deve ser feita a segurança SaaS moderna:
- Monitorização em tempo real de integrações: mapear e vigiar todas as conexões SaaS-to-SaaS através de APIs, identificando aplicações, serviços, tokens e volumes anómalos de exportação de dados — mesmo quando os pedidos parecem legítimos.
- Análise comportamental de tokens OAuth: estabelecer comportamentos-padrão por integração e gerar alertas ou aplicar contenção automática sempre que se verifiquem desvios.
- Visibilidade sobre a movimentação de dados: monitorizar movimentos de grande volume para deteção precoce de exfiltração.
Mais do que deteção: uma abordagem estratégica à segurança SaaS
Este ataque demonstra porque é que a segurança SaaS não pode continuar a ser pensada aplicação a aplicação. A visibilidade e o controlo têm de abranger todo o ecossistema de integrações.
A solução de segurança SaaS da Check Point, integrada na plataforma SASE, cobre três áreas críticas:
- Descoberta total de aplicações SaaS: identificação automática de todas as aplicações, shadow IT e pontos de integração em uso. Sem visibilidade, não há segurança possível.
- Avaliação de risco das integrações: cada ligação tem um grau de risco diferente. A Check Point prioriza ameaças com base na sensibilidade dos dados, escopo de acesso e padrões comportamentais.
- Automatização da conformidade: com regulamentações como o RGPD a exigir rastreamento de fluxos de dados, a solução permite uma gestão automatizada da postura de segurança SaaS (SSPM), avaliando continuamente configurações face às melhores práticas e requisitos legais.
Conclusão
Este incidente serve como alerta: a adoção de SaaS e a complexidade das integrações estão a crescer, e com elas aumentam também as oportunidades para os cibercriminosos. As organizações precisam de encarar a segurança SaaS como um desafio de ecossistema — e não como uma coleção de aplicações isoladas.
Está preparado para ver o que se passa no seu ambiente SaaS? Marque já uma demonstração com a Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pioneira e líder mundial em soluções de cibersegurança.
Siga a Check Point Software:
- X: http://www.twitter.com/checkpointsw
- Blog: http://blog.checkpoint.com
- YouTube: http://www.youtube.com/user/CPGlobal
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. (www.checkpoint.com) é um fornecedor líder de plataformas de cibersegurança alimentadas por IA e fornecidas na cloud, protegendo mais de 100.000 organizações em todo o mundo. A Check Point aproveita o poder da IA em todo o lado para melhorar a eficiência e a precisão da cibersegurança através da sua Plataforma Infinity, com taxas de captura líderes na indústria, permitindo uma antecipação proativa de ameaças e tempos de resposta mais inteligentes e rápidos. A plataforma abrangente inclui tecnologias fornecidas pela cloud que consistem em Check Point Harmony para proteger o espaço de trabalho, Check Point CloudGuard para proteger a cloud, Check Point Quantum para proteger a rede e Check Point Infinity Core Services para operações e serviços de segurança colaborativos.
Mais informações aqui.
