Um grupo de cibercriminosos conhecido como ShinyHunters está explorando configurações inadequadas em sites baseados no Salesforce Experience Cloud, resultando em um vazamento massivo de dados de centenas de organizações de alto perfil. A campanha, que não depende de uma vulnerabilidade no próprio Salesforce, mas sim de erros de configuração dos clientes, tem sido alvo de um alerta crítico emitido pelo Centro de Operações de Segurança Cibernética da Salesforce.
O que mudou agora
O grupo criminoso, que já havia sido associado a grandes vazamentos de dados anteriormente, está utilizando uma versão modificada do Aura Inspector, uma ferramenta de auditoria de segurança desenvolvida originalmente pela Mandiant. Ao contrário da ferramenta padrão, que identifica riscos de exposição de dados, a versão customizada do ShinyHunters é capaz de extrair ativamente informações sensíveis.
Os atacantes estão realizando varreduras em massa em sites públicos para identificar perfis de usuário convidado (guest user) com permissões excessivas. Quando configurados incorretamente, esses perfis concedem acesso não autenticado a dados visíveis publicamente, permitindo que os criminosos consultem diretamente objetos do CRM do Salesforce sem necessidade de login.
Impacto e alcance
Segundo o ShinyHunters, o grupo comprometeu até 400 sites e cerca de 100 empresas de alto perfil. Os dados roubados, que frequentemente incluem informações pessoais como nomes e números de telefone, são utilizados para alimentar ataques subsequentes de engenharia social e phishing de voz (vishing). Além disso, o grupo está empregando suas táticas bem conhecidas de extorsão, ameaçando publicar os dados empresariais raspados em sites de vazamento na dark web caso os resgates não sejam pagos.
Recomendações de Segurança
A Salesforce recomenda que administradores adotem imediatamente um modelo de acesso de privilégio mínimo para proteger seus ambientes. As ações defensivas chave incluem:
- Desabilitar APIs Públicas: Esta é a mudança de maior impacto. As organizações devem desmarcar a configuração que permite que usuários convidados acessem APIs públicas, fechando imediatamente o endpoint Aura visado para consultas não autenticadas.
- Auditar Perfis de Convidado: Revisar e restringir o acesso de usuários convidados ao mínimo absoluto de objetos e campos necessários para a funcionalidade do site.
- Definir Padrões como Privados: Garantir que o padrão para acesso a objetos externos seja definido como privado, para que usuários convidados não possam visualizar registros sem regras de compartilhamento explícitas.
- Restringir Visibilidade Interna: Desabilitar configurações de visibilidade de usuários de portal e site para evitar que atacantes enumerem membros internos da organização.
- Desabilitar Auto-Registro: Se a criação de contas públicas não for estritamente necessária, desligá-la para impedir que atacantes escalem seu acesso de um nível de convidado para uma sessão autenticada.
Organizações que utilizam o Salesforce Experience Cloud devem agir rapidamente para auditar seus ambientes. A configuração adequada das configurações de usuário convidado é crítica para a defesa contra esta campanha em andamento.