Google confirmou nesta sexta-feira, 21, que hackers roubaram dados armazenados na Salesforce pertencentes a mais de 200 empresas, em um ataque em larga escala que explorou brechas em integrações de terceiros. A empresa identificou ao menos 200 instâncias potencialmente afetadas no ambiente corporativo da Salesforce, segundo informou Austin Larsen, analista principal do Google Threat Intelligence Group.

O ataque teve origem em aplicativos da Gainsight, plataforma de atendimento ao cliente que funciona como conector entre sistemas corporativos, e que foi comprometida após uma tentativa anterior contra usuários da Salesloft, empresa que opera a ferramenta de marketing Drift, voltada a automação com IA e chatbots.

A ação foi reivindicada no Telegram pelo coletivo Scattered Lapsus$ Hunters, que reúne grupos como ShinyHunters, Scattered Spider e Lapsus$. Os hackers afirmam ter acessado dados de companhias como Atlassian, Docusign, GitLab, Linkedin, F5, SonicWall, Thomson Reuters e Verizon. A Salesforce declarou não haver indício de falha própria na plataforma, atribuindo o incidente às conexões externas dos aplicativos comprometidos.

Algumas empresas citadas responderam publicamente. A CrowdStrike afirmou que seus sistemas não foram afetados e disse ter demitido um “insider suspeito”, acusado de repassar informações aos invasores. Já a Malwarebytes disse estar “ciente” das ocorrências envolvendo Gainsight e Salesforce e conduz investigação interna. Outras companhias não comentaram até o fechamento deste texto.

No Telegram, o Scattered Lapsus$ Hunters disse que lançará um site para extorsão de vítimas ainda nesta semana — tática que o coletivo repete desde outubro, quando criou uma página semelhante para pressionar empresas afetadas pelo roubo de dados vinculados à Salesloft.