A Palo Alto Networks confirmou que foi vítima de uma violação de dados ligada a um ataque na cadeia de suprimentos envolvendo a plataforma Drift, integrada ao Salesforce. A brecha permitiu o roubo de informações de clientes armazenadas nas instâncias Salesforce da empresa, sem afetar seus produtos ou serviços diretamente. O ataque, ocorrido entre os dias 8 e 18 de agosto de 2025, explorou tokens de autenticação OAuth comprometidos para acessar e extrair grandes volumes de dados corporativos.
O grupo responsável, rastreado pelo Google como UNC6395, utilizou a integração com o Drift para invadir ambientes de CRM e obter informações sensíveis. Os dados acessados incluíam contatos comerciais, registros de contas, detalhes internos de vendas e casos de suporte. A empresa está notificando um número limitado de clientes cujas informações foram consideradas mais sensíveis. A resposta imediata envolveu a desconexão do Drift do ambiente Salesforce, a abertura de uma investigação liderada pela equipe de segurança Unit 42 e a análise de logs em busca de sinais de atividade maliciosa. A ação incluiu também a revogação de tokens e a atualização de credenciais possivelmente comprometidas. Segundo o relatório da Unit 42, os invasores procuravam por credenciais de acesso a serviços em nuvem como AWS e Snowflake, escaneando os dados roubados em busca de senhas e chaves de autenticação. A exfiltração foi automatizada com uso de ferramentas em Python, e os atacantes tentaram apagar rastros ao excluir logs de consulta.
A campanha afetou outras empresas de tecnologia, incluindo Zscaler e Google, destacando o alcance do ataque e sua capacidade de comprometer integrações SaaS amplamente utilizadas. Em resposta, o Drift foi temporariamente removido da AppExchange do Salesforce, e os tokens ativos foram revogados. A Palo Alto Networks recomenda que organizações que utilizam a integração com o Drift realizem auditorias imediatas nos logs do Salesforce, verifiquem a presença de agentes maliciosos e adotem medidas de mitigação, como rotação de segredos e reforço das políticas de Zero Trust.
