Varonis Blog | Segurança de dentro para fora

A anatomia de um vazamento de dados do Salesforce: como impedir a falsificação de identidade do usuário

Escrito por Nolan Necoechea | Sep 1, 2025 1:19:29 PM

É muito difícil detectar um agente malicioso se passando por usuário no Salesforce. Uma vez que um agente malicioso consegue credenciais legítimas, ele pode se passar por administradores, acessar dados confidenciais e exfiltrá-los, muitas vezes sem disparar alarmes. 

Ao alternar entre identidades de usuário, os invasores podem se misturar ao ruído das grandes organizações. Com hierarquias complexas de perfis, conjuntos de permissões, funções e permissões do sistema, esses ataques são difíceis de identificar e prevenir no Salesforce. 

Neste artigo, vamos detalhar um ataque de personificação do mundo real que levou à exfiltração de milhões de registros e como você pode evitar ataques de personificação de usuário. 

Anatomia da violação 

Uma grande multinacional nos procurou após descobrir que milhões de registros haviam sido exfiltrados do seu CRM na Salesforce. Depois de uma investigação minuciosa, determinamos como o agente malicioso conseguiu escapar despercebido. 

Veja como a violação aconteceu: 

  • Um ex-funcionário, familiarizado com o ambiente Salesforce da organização, convenceu o help desk a redefinir sua senha. 
  • Após a redefinição, ele descongelou a conta, recuperando todas as permissões anteriores. Em seguida, escalou sua permissão para superadministrador. 
  • Depois de obter privilégios de superadministrador, ele começou a se passar sistematicamente por usuários e a procurar dados confidenciais. 
  • À primeira vista, essas sessões pareciam rotineiras. Sem um exame minucioso, as sessões pareciam atividades rotineiras de suporte de TI, mas a frequência e o horário levantaram sinais de alerta durante nossa avaliação de riscos. 
  • Por fim, o invasor usou um app de terceiros não seguro para exfiltrar milhões de registros sem ser detectado. 

Diagnosticando o risco de dados do Salesforce 

Com mais de um milhão de usuários, esse ambiente era inerentemente difícil de gerenciar, mas alguns riscos importantes e evitáveis contribuíram para o vazamento dos dados.  

Aqui está o que descobrimos: 

1. Contas congeladas com direitos de administrador

A organização tinha mais de 600 contas de superadministrador e muitas delas estavam congeladas. No entanto, essas contas congeladas ainda mantinham permissões completas. No Salesforce, congelar uma conta não remove suas permissões. Se reativada, a conta recupera todo o acesso garantido anteriormente. 

Isso cria um risco significativo. Agentes maliciosos, como o Scattered Spider, usam engenharia social para convencer os help desks a redefinir senhas e MFA, reativando contas congeladas com os privilégios intactos. 

2. Atribuições de apps obsoletos

A organização tinha dezenas de atribuições de apps obsoletos. Essas atribuições de apps obsoletos geralmente retêm tokens e permissões do OAuth, criando um backdoor para que invasores ou agentes maliciosos acessem e extraiam dados confidenciais. 

3. Dados de produção em um ambiente de sandbox

Talvez o problema mais alarmante seja que os dados de produção dessa organização estavam sendo sincronizados com um ambiente de teste massivo. Os ambientes de teste (sandbox) geralmente não possuem os mesmos controles rigorosos dos ambientes de produção, criando uma mistura perigosa de dados confidenciais e controles de acesso mais fracos. 

Como evitar a personificação de usuários no Salesforce 

Embora seja difícil detectar a falsificação de identidade do usuário, essa violação poderia ter sido evitada. Veja como eliminar os riscos: 

Remova permissões não utilizadas 

Audite e elimine as permissões que não são mais necessárias. Ao congelar uma conta, remova as permissões para reduzir a superfície de ataque e simplificar as auditorias. As revisões frequentes ajudam a aplicar o princípio do privilégio mínimo

Revogue atribuições de apps obsoletos 

Audite o acesso a apps de terceiros e remova as atribuições que não são mais relevantes. Isso elimina uma exposure desnecessária e reduz o risco de exfiltração de dados por meio de integrações esquecidas. 

Separe os dados de produção e do sandbox 

A prática recomendada é não sincronizar dados de produção em ambientes de sandbox. Mantenha os ambientes isolados para evitar exposure acidental e mantenha controles de acesso mais rígidos. 

Como Varonis ajuda 

Pode ser desafiador implementar a recomendação acima, especialmente em uma grande organização. A Varonis fornece a solução de segurança Salesforce mais completa disponível para eliminar riscos e detectar ameaças com remediações automatizadas para garantir que a segurança e detecção sejam escaláveis.  

Dimensiona corretamente as permissões 

A Varonis mostra as permissões efetivas de cada usuário e como elas foram obtidas, com remediação automatizada, como a remoção de permissões de contas inativas ou obsoletas. 

Gerencia o risco de apps de terceiros 

A Varonis descobre todos os apps de terceiros conectados, avalia os riscos e monitora as atividades. Ela pode remover automaticamente conexões de apps não autorizadas ou não utilizadas. 

Detecta atividades anômalas 

A Varonis monitora proativamente o Salesforce e todo o seu acervo de dados em busca de comportamentos suspeitos, como escalonamento de privilégios, acesso em massa a objetos e exfiltração de dados. A Varonis correlaciona identidades em diferentes aplicativos para identificar ameaças, como um usuário que faz login pelo Okta, acessa o Salesforce e envia dados para uma conta de e-mail pessoal. 

Experimente Varonis para Salesforce 

Para proteger seus dados confidenciais, você precisa saber onde eles estão, quem pode acessá-los e o que estão fazendo com eles. Somente a Varonis reúne tudo isso em uma plataforma. 

A Varonis protege o Salesforce e outros apps SaaS, dados na nuvem e no local. 

Quer descobrir quais riscos existem no seu ambiente Salesforce? Comece hoje mesmo uma avaliação gratuita de risco de dados
Visualizar publicação completa