Recentemente, a Salesforce alertou sobre um aumento de atividade maliciosa que tem como objetivo sites públicos construídos com Experience Cloud. A técnica descrita não explora uma falha do próprio serviço, mas sim configurações demasiado permissivas no perfil de usuário convidado que muitas organizações mantêm para publicar páginas públicas – e que, se não estiverem corretamente em conformidade, podem permitir que atacantes obtenham informações que não deveriam estar abertas ao público.
No centro da notícia está uma versão modificada de uma ferramenta de código aberto chamada AuraInspector, desenvolvida para auditar configurações dentro do marco Aura do Salesforce. A ferramenta original, lançada por Mandiant, serve para identificar objetos e pontos expostos por endpoints públicos como /s/sfsites/aura. O preocupante é que, segundo a Salesforce, atores maliciosos adaptaram essa utilidade para automatizar barridos massivos e passar da mera detecção à extração de dados quando se encontram configurações demais laxas.
Isso significa que não se trata de uma “vulnerabilidade” na plataforma per se, mas sim de configurações que permitem a usuários não autenticados realizar consultas sobre objetos do CRM. O Salesforce tem sido explícito em notar que, até agora, não detectaram uma falha inerente ao sistema: as tentativas são dirigidas a ajustes de clientes que não seguem as recomendações de segurança publicadas pela própria empresa. Você pode ler o comunicado e as indicações oficiais no blog do Salesforce e em seu aviso público sobre o assunto aqui e na sua página de estado aqui.
Para entender a mecânica: os sites públicos da Experience Cloud usam um perfil especial de “guest user” para mostrar conteúdo público como entradas de ajuda, FAQs ou páginas de pouso. Esse perfil deve ter permissões estritamente limitadas. Se por erro forem concedidas permissões de leitura ou acesso a APIs públicas a esse perfil, um scanner automatizado pode enumerar objetos e até mesmo extrair campos com dados sensíveis sem necessidade de autenticação.
O risco prático não é apenas a ex-filtração imediata de nomes ou telefones; Salesforce adverte que essa informação pode ser a matéria-prima de ataques posteriores. Dados aparentemente inocuos servem para aperfeiçoar campanhas de engenharia social e ataques por voz (vishing), que geralmente são mais eficazes quando o atacante já dispõe de detalhes verificáveis sobre funcionários ou clientes. Nesse sentido, a atividade relatada encaixa no que a empresa qualifica como um padrão mais amplo de ataques “basados em identidade”.
A Salesforce recomendou várias medidas de mitigação que qualquer administrador deve rever imediatamente: restringir o acesso do usuário convidado, estabelecer a visibilidade por defeito dos objetos em privado, desativar acessos públicos a APIs a partir de perfis guest e controlar a auto-incrição se não for estritamente necessária. A empresa publicou guias com passos concretos para auditar e reforçar essas configurações em seus recursos.
A ferramenta original sobre a qual se baseiam estes ataques foi publicada por Mandiant; a existência de uma versão modificada por atores maliciosos mostra como as utilidades projetadas para melhorar a segurança também podem ser reutilizadas para fins ofensivos se caírem nas mãos erradas. Aqueles que querem rever a ferramenta pública podem consultar o repositório oficial e as notas da publicação por parte de Mandiant no GitHub e na web de Mandiant aqui.
A Salesforce atribui a campanha a um grupo de ameaças conhecido sem o nomear expressamente, o que abre a possibilidade de relação com operacionais que já conduziram anteriores ataques contra ecossistemas CRM através de aplicativos terceiros. Em qualquer caso, a mensagem para administradores e responsáveis pela segurança é clara: revisar as políticas de acesso, monitorar consultas incomuns e aplicar o princípio de mínimos privilégios em todos os perfis expostos publicamente.
Para equipamentos técnicos e de segurança que necessitem de priorizar ações, não é necessário esperar uma intrusão para reagir. Uma auditoria de permissões do perfil guest, a desactivação de APIs públicas para esse perfil e a revisão de logs de acesso costumam ser medidas técnicas de alto impacto. Além de seguir as recomendações da Salesforce, convém integrar alertas específicos nos sistemas de detecção para capturar padrões de digitalização em massa ou consultas que tentem enumerar objetos do CRM.
Em suma, este incidente é um lembrete de que a segurança não é apenas uma questão de adesivos e atualizações do fornecedor: também depende das políticas e configurações locais. As ferramentas automatizadas podem ajudar a identificar fraquezas, mas também podem ser reutilizadas por adversários”, pelo que uma configuração prudente e a vigilância constante continuam a ser as melhores barreiras a este tipo de campanhas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...