Um funcionário recebe uma ligação do "suporte de TI". Dez minutos depois, 1,2 milhão de registros do Salesforce podem estar sendo baixados para um servidor externo. Esse cenário já foi observado em incidentes reais reportados por Google, Reuters e McAfee em 2025.
1. O que mudou
Grupos como UNC6040, Scattered Spider e ShinyHunters migraram de exploits de dia zero para engenharia social mais OAuth. Salesforce não tem vulnerabilidade no código. O problema está no token que o usuário entrega voluntariamente.2. Como o ataque acontece na prática
O fluxo observado nas campanhas recentes segue este padrão:- OSINT: Atacantes mapeiam alvos no LinkedIn. Cargo comum: Analista Financeiro, SDR, Suporte. Acesso típico: Salesforce.
- Vishing: Ligação direta se passando por TI. Script comum: "Identificamos atividade suspeita. Preciso que autorize o Data Loader para eu validar."
- OAuth Abuse: Vítima acessa Setup > Connected Apps e aprova um "Data Loader" falso. O app recebe refresh_token com scope api e full.
- Exfiltração: Uso de Bulk API. Primeiro query com LIMIT 100 para validar. Depois SELECT FIELDS(ALL) FROM Account, Contact, Case. Volume reportado: 50k registros por minuto.
- Persistência: O token não expira. Mesmo após troca de senha, o acesso continua.
3. Impacto para empresas
- Financeiro: Multas GDPR de até 4 por cento do faturamento. Caso Free Mobile: 42 milhões de euros.
- Operacional: Token comprometido permite exportação silenciosa. Sem alerta de login, sem bloqueio de MFA tradicional.
- Reputacional: Google, Adidas, Qantas e Toyota tiveram dados expostos por esse vetor em 2025.
4. Como defender
- Bloqueio de Connected Apps: Setup > Connected Apps > Block. Libere apenas apps com Publisher verificado.
- MFA resistente a phishing: FIDO2, YubiKey, Windows Hello. SMS e TOTP são burlados via proxy em tempo real.
- Monitoramento de EventLogFile: Alerta para EventType = BulkApi com ROWS_PROCESSED maior que 10000 de IP externo.
- Revogação ativa: Setup > Users > OAuth Connected Apps > Revoke. Execute quinzenalmente.
- Threat Detection: Ative API Anomaly e Credential Stuffing no Salesforce Shield.
5. Visão técnica
Em ambientes sem controle de Connected Apps, o tempo para obter o primeiro dump de dados pode ser inferior a 15 minutos. O tempo médio de detecção reportado em incidentes públicos ultrapassa 15 dias. Nesse intervalo, o atacante mapeia clientes, preços e roadmap. A diferença entre risco e controle é validar a superfície antes de um ataque real.6. Conclusão
OAuth não é um problema futuro. É o vetor explorado hoje contra Salesforce, M365 e GitHub. Se seu time ainda não audita Connected Apps nem monitora Bulk API, existe exposição ativa.A Antisec é especializada em Red Team, Pentest e AppSec com foco em superfície humana e de identidade. Validamos riscos de vishing, OAuth abuse e movimento lateral em ambiente controlado, com evidência técnica e plano de correção. Fale com um especialista e solicite uma avaliação de exposição para seu tenant Salesforce.
