Cloudflare recomendou aos seus clientes a rotação imediata de credenciais, depois de detectar a exposição de 104 tokens de acesso na sequência de uma campanha de ciberataques que explorou uma instância da Salesforce usada pela empresa para suporte técnico.
Ataque concentrou-se na plataforma de suporte
A empresa foi alertada para a vulnerabilidade em 23 de agosto, mas comunicou o incidente aos utilizadores a 2 de setembro. De acordo com o relatório interno, os atacantes acederam a uma instância da Salesforce destinada ao acompanhamento de pedidos de assistência. Nessa base estavam armazenados 104 tokens da API Cloudflare, agora considerados comprometidos.
Em resposta, a Cloudflare procedeu à rotação dos tokens e realizou uma auditoria ao ambiente afetado, sem identificar atividade maliciosa subsequente. Apesar disso, a empresa admite que quaisquer dados submetidos pelos clientes no sistema de suporte — incluindo registos, palavras-passe ou detalhes de configuração — devem ser encarados como potencialmente expostos.
Recomendações para clientes
A maioria das informações consultadas refere-se a contactos e registos de casos, mas algumas interações revelam parâmetros de configuração e até credenciais de acesso. Por esse motivo, a Cloudflare aconselha todos os clientes a substituírem senhas, chaves de API e outros dados sensíveis enviados no âmbito de processos de suporte.
O serviço afetado faz parte da infraestrutura que a empresa utiliza para proteger sites contra ataques distribuídos de negação de serviço (DDoS) e acelerar o carregamento de páginas. Qualquer alteração indevida nos tokens poderia permitir o acesso não autorizado a funcionalidades críticas dessas redes.
Incidente insere-se numa cadeia de compromissos na Salesforce
O caso da Cloudflare é mais um episódio na série de intrusões registadas na plataforma Salesforce desde o início do ano. Grupos especializados em vishing — fraude que combina voz e técnicas de phishing — têm explorado credenciais obtidas por engenharia social para entrar em ambientes de grandes organizações.
Entre as entidades afetadas constam Google, Cisco, Qantas, Allianz Life, Workday, Adidas, Louis Vuitton, Dior e Tiffany & Co. No dia 2 de setembro, a Palo Alto Networks também confirmou acessos não autorizados a várias instâncias do seu sistema baseado em Salesforce.
Possíveis autores e método de ataque
Investigadores apontam para coletivos como ShinyHunters e Scattered Spider, conhecidos por operações de ransomware. A estratégia passa pelo roubo de credenciais através de campanhas de phishing bem orquestradas, seguido de exploração de permissões internas para extrair dados ou lançar ataques direcionados.
A Cloudflare admite que os 104 tokens expostos podem ser usados em novas ofensivas contra organizações que armazenam ou processam informação sensível na sua infraestrutura. A empresa sublinha que «centenas de organizações foram impactadas pelo comprometimento da Salesforce» e prevê um aumento de tentativas de intrusão dirigidas.
Medidas de mitigação em curso
Além da rotação de tokens, a Cloudflare ativou procedimentos de monitorização alargada e reforçou a autenticação multifator nos sistemas internos. Foram igualmente atualizados filtros de deteção para identificar tráfico anómalo associado aos tokens que já se encontram revogados.
A tecnológica refere que continua a colaborar com a Salesforce, com agências de cibersegurança e com empresas potencialmente afetadas, no sentido de mapear o alcance completo da fuga de dados e impedir a reutilização de credenciais comprometidas.
O que as organizações devem fazer
Especialistas em segurança recomendam que todas as entidades que usem serviços da Salesforce ou interajam com a Cloudflare:
- rotem rapidamente palavras-passe, tokens de API e chaves SSH partilhadas em canais de suporte;
- ativem autenticação multifator em contas administrativas;
- monitorizem registos de acesso à procura de padrões incomuns;
- eduquem equipas de help desk sobre riscos de engenharia social.
Enquanto prossegue a investigação, a Cloudflare continuará a divulgar atualizações à medida que surjam novos dados sobre o incidente e o eventual impacto na sua base de clientes.
