.png)
há 5 dias
2
ANUNCIE AQUI
Um coletivo cibercriminoso autodenominado Scattered LAPSUS$ Hunters criou um novo site de vazamento de dados na dark web, alegando possuir quase um bilhão de registros de clientes da Salesforce. O grupo iniciou uma campanha global de extorsão e estabeleceu o prazo de 10 de outubro de 2025 para o pagamento de resgates, ameaçando divulgar dados sensíveis e detalhes técnicos caso suas exigências não sejam atendidas.
Leia também
Crime cibernético de IA é indefensável, dizem líderes de TI
Espionagem diplomática via Exchange dura anos
Os invasores afirmam ter explorado falhas de segurança na Salesforce, como a ausência de autenticação de dois fatores (2FA) adequada e proteções insuficientes no OAuth, o que teria permitido o comprometimento de mais de 100 instâncias corporativas da plataforma. Entre as vítimas listadas no novo site estão Toyota, FedEx, UPS, Adidas, Disney/Hulu, McDonald’s, Qantas, Aeroméxico, Vietnam Airlines, Stellantis, IKEA, KFC, GAP e a plataforma educacional Canvas.
O grupo é descrito como uma aliança entre antigos membros de coletivos como ShinyHunters, Scattered Spider e Lapsus$, formando o que especialistas chamam de uma “trindade do caos”. Suas operações combinam engenharia social avançada e exploração técnica. Em muitos casos, os criminosos utilizam vishing – ligações telefônicas em que se passam por equipes de TI – para induzir funcionários a autorizar aplicativos maliciosos que capturam tokens OAuth, permitindo acesso contínuo aos ambientes Salesforce e contornando mecanismos de MFA.
Diferente dos ataques de ransomware tradicionais, o grupo foca em roubo e exposição pública de dados, buscando impacto reputacional e financeiro em vez de criptografar sistemas. Em meados de 2025, os mesmos atores afirmaram ter comprometido 1,5 bilhão de registros de 760 empresas, explorando integrações de terceiros como Salesloft e Drift. Fragmentos desses dados foram divulgados como prova para pressionar as vítimas nas negociações. Apesar de uma carta recente do grupo afirmar seu “encerramento”, analistas de segurança acreditam que o anúncio faz parte de uma estratégia de rebranding, e que o risco de novos vazamentos em larga escala permanece elevado.
Um porta-voz da Salesforce deu esta declaração ao portal Recorded Future: “Nossas descobertas indicam que essas tentativas estão relacionadas a incidentes passados ou infundados, e continuamos em contato com os clientes afetados para fornecer suporte. No momento, não há indícios de que a plataforma Salesforce tenha sido comprometida, nem esta atividade está relacionada a qualquer vulnerabilidade conhecida em nossa tecnologia”, disse o porta-voz.
Portuguese (BR) ·