A segurança no Salesforce voltou ao centro das discussões de cibersegurança após um incidente envolvendo o aplicativo Klue Battlecards, uma integração de terceiros conectada ao ecossistema da plataforma. O caso revelou como credenciais antigas, tokens OAuth e acessos automatizados podem se transformar em caminhos silenciosos para roubo de dados corporativos.
O ataque atribuído ao grupo hacker Icarus não explorou uma falha direta na infraestrutura da Salesforce, mas sim uma fragilidade no gerenciamento de um aplicativo parceiro. Segundo análises de segurança, os invasores conseguiram obter tokens de acesso e utilizaram APIs da plataforma para consultar grandes volumes de informações armazenadas por clientes.
Entre os possíveis impactos está o acesso indevido a dados comerciais de empresas que utilizavam o Klue Battlecards, incluindo a companhia de segurança Huntress. Neste artigo, vamos explicar como o ataque aconteceu, por que tokens OAuth são tão importantes e quais lições empresas precisam aprender para melhorar a proteção de seus ambientes em nuvem.
Como o ataque ao aplicativo Klue afetou a segurança no Salesforce
O incidente começou a partir de credenciais legadas associadas ao aplicativo Klue. Essas credenciais teriam sido criadas durante fases de desenvolvimento ou prototipagem e permaneceram ativas mesmo após deixarem de ser necessárias.
Esse tipo de problema é comum em ambientes modernos de tecnologia, onde empresas utilizam dezenas ou até centenas de integrações externas. Aplicativos conectados à nuvem frequentemente recebem permissões para acessar dados, executar tarefas automatizadas e interagir com APIs corporativas.
No caso investigado, os atacantes encontraram uma forma de aproveitar esses acessos antigos para obter tokens OAuth, permitindo que realizassem operações dentro do ambiente Salesforce sem precisar utilizar senhas tradicionais.
A situação reforça que a segurança do Salesforce depende não apenas da proteção da própria plataforma, mas também do controle rigoroso sobre aplicativos conectados, permissões concedidas e identidades digitais utilizadas por serviços automatizados.
O roubo de tokens OAuth
O OAuth é um protocolo utilizado para permitir que aplicativos acessem recursos de outros serviços sem compartilhar diretamente uma senha. Em termos simples, um token OAuth funciona como uma espécie de chave temporária de autorização.
Quando um usuário ou administrador aprova uma integração, o aplicativo recebe um token que permite executar ações específicas dentro da plataforma. Esse modelo é extremamente útil para conectar ferramentas corporativas, mas também cria um novo ponto de risco.
No ataque ao Klue Battlecards, os criminosos conseguiram capturar tokens OAuth válidos e passaram a agir como uma aplicação autorizada dentro do ambiente Salesforce.
A vantagem para os invasores é que esse tipo de acesso pode passar despercebido. Diferentemente de uma conta comprometida de funcionário, uma integração legítima pode parecer uma atividade normal para sistemas de monitoramento que não acompanham de perto o comportamento de identidades automatizadas.
Por isso, proteger tokens OAuth, revisar permissões e remover acessos antigos são medidas fundamentais para manter a segurança no Salesforce e em outras plataformas de nuvem.
O grupo Icarus e a extorsão
Após obter acesso aos dados, o grupo Icarus teria iniciado uma tentativa de extorsão contra organizações afetadas. O grupo ganhou atenção por ataques envolvendo roubo de informações e ameaças de exposição pública.
Um dos casos citados envolve a empresa Huntress, que recebeu uma mensagem de extorsão com referência a um suposto conteúdo confidencial, descrito pelos criminosos como um “e-mail ultrassecreto”.
A estratégia segue um modelo conhecido em ataques modernos: primeiro ocorre a coleta silenciosa de informações, depois os criminosos tentam pressionar a vítima usando a possibilidade de vazamento dos dados obtidos.
Esse comportamento mostra uma mudança no cenário de ameaças digitais. Atualmente, grupos criminosos não dependem apenas de ransomware tradicional. O roubo de dados em plataformas SaaS, como o Salesforce, tornou-se uma alternativa lucrativa para extorsão.
A tática técnica: scripts em Python e abuso de APIs
A investigação da empresa de segurança ReliaQuest apontou que os atacantes utilizaram automações para consultar dados dentro do ambiente Salesforce.
Depois de obter os tokens OAuth, o grupo teria usado scripts em Python para executar consultas repetidas contra APIs da plataforma. Um dos pontos analisados foi o uso do endpoint de consulta:
/services/data/v59.0/query
Esse tipo de endpoint permite que aplicações legítimas pesquisem informações dentro do Salesforce. Porém, quando combinado com credenciais roubadas e automação maliciosa, pode ser usado para realizar uma coleta massiva de dados.
Os scripts executavam consultas em sequência, criando um processo automatizado de extração que permaneceu ativo durante horas. Esse comportamento permitiu que os criminosos copiassem grandes quantidades de informações sem depender de uma interação manual.
A técnica mostra como ataques contra ambientes em nuvem podem acontecer de maneira discreta. Em vez de invadir servidores ou explorar vulnerabilidades tradicionais, os criminosos abusam de ferramentas legítimas e permissões existentes.
Para empresas que dependem de plataformas corporativas, monitorar o uso das APIs e identificar padrões anormais de consulta é uma etapa essencial da segurança no Salesforce.
O perigo das identidades não humanas na nuvem
Um dos principais aprendizados desse incidente envolve o conceito de identidades não humanas. Esse termo descreve contas, aplicativos, bots e serviços que acessam sistemas sem representar uma pessoa física.
Em ambientes corporativos, essas identidades são fundamentais para automatização. Um aplicativo pode sincronizar dados, gerar relatórios ou integrar diferentes plataformas sem intervenção humana constante.
O problema é que essas identidades costumam receber permissões amplas e muitas vezes têm menos supervisão do que contas de funcionários.
Uma conta de colaborador geralmente passa por processos como autenticação multifator, revisão periódica e monitoramento de comportamento. Já uma integração antiga pode permanecer ativa por anos sem qualquer auditoria.
No caso do Klue, o incidente evidencia como uma aplicação de terceiros pode se tornar uma porta de entrada para dados armazenados no Salesforce.
Empresas precisam adotar uma abordagem de gestão de identidade e acesso, revisando regularmente:
- Aplicativos conectados ao Salesforce
- Tokens OAuth ativos
- Permissões concedidas a integrações
- Contas de serviço antigas
- Atividades incomuns em APIs
A segurança em ambientes de nuvem depende cada vez mais da capacidade de controlar quem, ou o que, possui autorização para acessar informações.
Conclusão e lições para melhorar a segurança no Salesforce
O caso envolvendo o Klue Battlecards mostra que a proteção de dados corporativos vai além da infraestrutura principal de uma plataforma. Mesmo sistemas robustos podem ser afetados quando integrações externas possuem acessos antigos ou permissões excessivas.
A segurança no Salesforce exige uma estratégia contínua de auditoria, principalmente quando empresas utilizam diversos aplicativos conectados. Tokens OAuth precisam ser tratados como credenciais sensíveis, pois podem permitir acesso equivalente ao de um usuário autorizado.
Entre as principais medidas recomendadas estão a remoção de acessos desnecessários, revisão periódica de aplicativos parceiros e monitoramento de atividades automatizadas.
Incidentes como esse reforçam uma realidade importante da computação em nuvem: muitas vezes, o maior risco não está em uma falha técnica da plataforma, mas em permissões esquecidas e integrações que continuam ativas sem supervisão.