Um recente incidente coloca o foco num risco que as empresas continuam a subestimar: as integrações de terceiros como vectores de acesso massivo a dados sensíveis. Segundo relatos coletados por meios especializados, várias organizações sofreram roubo de informações após o compromisso de um provedor de integrações SaaS; os atacantes conseguiram tokens de autenticação e os usaram para acessar serviços em nuvem, com interesse particular em plataformas de armazenamento e análise de dados na nuvem.
A maior parte das tentativas de exfiltração centraram-se em Snowflake, a conhecida plataforma de data warehouse na nuvem, que confirmou ter detectado atividade anómala em contas ligadas a uma integração de terceiros e bloqueou preventivamente os acessos potencialmente afetados. Snowflake foi enfático ao esclarecer que não houve falha nos seus próprios sistemas nem uma violação da infraestrutura da empresa; a intrusão, segundo as evidências, resolveu-se sobre acessos vinculados a credenciais obtidas fora do seu perímetro. Você pode encontrar informações públicas de Snowflake no seu site e na sua página de estado: blog Snowflake e página de estado.
Fontes do ecossistema apontaram que a origem do incidente poderia ser a empresa de detecção de anomalias de dados Anodot, adquirida por Glassbox em novembro de 2025, embora nem Snowflake nem os integradores envolvidos tenham feito nomes oficiais nas primeiras comunicações. Anodot apresenta-se como uma solução que aplica machine learning para identificar mudanças incomuns em métricas de negócios e operacionais, e seu papel como ponto de integração com plataformas como Snowflake coloca-a em uma posição crítica: acesso profundo a fluxos de dados e, portanto, um objetivo interessante para atores maliciosos. Mais informações sobre Anodot em seu site sobre Glassbox Glassbox.
Os atacantes que reclamaram a autoria, identificados pelos relatórios como o grupo conhecido como ShinyHunters, afirmaram ter exfiltrado dados de dezenas de empresas e estar tentando extorsionar-las para evitar a publicação da informação roubada. ShinyHunters é um ator que tem estrelado vazamentos e vendas de dados no passado; você pode ler história sobre este grupo na documentação pública disponível, por exemplo em sua ficha na Wikipédia e em análises jornalísticas especializadas.
Um detalhe que chamou a atenção foi a menção de tentativas de acesso a dados da Salesforce usando os tokens sutraídos, que, segundo os relatos, foram detectados e bloqueados antes que os atacantes conseguissem extrair informações. No último ano, tem-se observado uma sucessão de campanhas direcionadas a clientes da Salesforce e outras plataformas de CRM, o que sublinha a persistente pressão sobre recursos com informações comercialmente sensíveis. Salesforce mantém informações sobre seu estado e práticas de segurança em seu portal de estado.
Entre as empresas que se comunicaram sobre o incidente, Payoneer indicou que, após rever suas integrações, não havia evidências de impacto nos seus sistemas. A resposta das empresas a este tipo de alertas varia normalmente; algumas actuam imediatamente, outras levam a confirmar alcance e outras evitam divulgar detalhes por razões legais ou de contenção. Você pode consultar comunicados e rastreamento de mídia especializada como BleepingComputer, que cobriu esta e outras campanhas semelhantes.
Também é relevante que grupos como o Google Threat Analysis Group tenham declarado estar a acompanhar o incidente: a coordenação entre equipes de inteligência de ameaças e fornecedores é fundamental para conter esses eventos e mitigar sua propagação. As equipes de resposta recomendam, entre outras medidas, bloquear acessos comprometidos, rotar credenciais e revisar logs para identificar movimentos laterais que possam ter passado despercebidos. A perspectiva institucional sobre o ciberincidente e mitigação pode ser consultada em recursos oficiais como os materiais da CISA e outros organismos de segurança.
Para além de quem esteve por trás do acesso inicial, o episódio expõe um problema estrutural: as integrações legítimas entre serviços — as quais facilitam o trabalho, as máquinas e os processos são quase invisíveis para muitas equipes — podem se tornar portas traseiras se não forem geridas com políticas rigorosas. Os tokens e credenciais de integração devem ser tratados como segredos de máxima sensibilidade: devem ter validade curta, permissões acotadas ao mínimo necessário e rodar-se com frequência. Além disso, é imprescindível manter um inventário claro de quais aplicações externas têm acesso a que dados e com que privilégios, algo que muitos ambientes de TI ainda não fazem com a disciplina requerida.
Para as empresas afetadas ou em risco, há passos práticos que devem ser priorizados: auditar e limitar as integrações de terceiros, implementar autenticação forte e segmentação de dados, habilitar alertas sobre padrões de acesso incomuns e preparar planos de resposta a vazamentos. A detecção precoce foi precisamente a diferença que evitou, segundo os relatórios, que os atacantes extrajeram dados da Salesforce nesta ocasião.
Se houver uma lição a destacar, é que a superfície de ataque já não é apenas o servidor ou a aplicação própria, mas o complexo entram de conexões externas, APIs e tokens que compõem a arquitetura moderna. A segurança hoje exige controles que abordem o ecossistema completo de integrações Não apenas os perímetros tradicionais.
Este episódio continuará em desenvolvimento e é conveniente manter-se atento às atualizações dos fornecedores envolvidos e dos equipamentos de resposta a incidentes. Para um acompanhamento mais detalhado e técnico, os espaços especializados como a BleepingComputer e os comunicados oficiais das empresas fornecem informações atualizadas, enquanto os organismos de cibersegurança pública e privada publicam guias para reforçar defesas contra extorsões e roubo de dados: BleepingComputer, Snowflake, Anodot, Glassbox e CISA - StopRansomware.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...