O Google confirmou que parte dos dados de seus clientes foi roubada após um ataque cibernético direcionado a um dos seus sistemas de banco de dados, mais especificamente a plataforma Salesforce. A invasão foi detectada e divulgada pelo Grupo de Inteligência de Ameaças do Google (Google Threat Intelligence Group – GTIG). O ataque foi atribuído ao grupo de hackers ShinyHunters, conhecido por sua atuação contra grandes corporações e pela exploração de bancos de dados na nuvem. O incidente ocorreu em junho e foi rapidamente contido após a aplicação de medidas de mitigação e uma análise detalhada do impacto pelo GTIG. Mesmo com o acesso indevido, o Google garantiu que informações sensíveis, como senhas e dados financeiros, não foram comprometidas.
Como o ataque aconteceu
Segundo o Google, o banco de dados afetado armazenava apenas informações básicas de contato e anotações relacionadas a pequenas e médias empresas, dados estes amplamente disponíveis ao público, como nomes comerciais e detalhes comerciais. A investigação do GTIG revelou que o grupo ShinyHunters, designado formalmente como UNC6040, evoluiu suas táticas. Inicialmente, eles usavam a ferramenta oficial Salesforce Data Loader para extrair dados. Agora, contam com aplicativos personalizados, geralmente scripts em Python, capazes de realizar a mesma função com maior discrição. A estratégia do grupo é baseada em engenharia social: criminosos entram em contato com funcionários das empresas-alvo por telefone, fingindo ser do suporte técnico de TI. Com isso, conseguem induzir os colaboradores a autorizar a instalação de aplicativos maliciosos conectados ao Salesforce, permitindo consultas e extração em larga escala dos dados. Para dificultar o rastreamento, os hackers utilizam VPNs como Mullvad e a rede TOR, além de registrar seus aplicativos maliciosos por meio de contas comprometidas de outras organizações, aumentando a complexidade e sofisticação no ataque.
Após as primeiras invasões, um outro grupo identificado como UNC6240 passou a contatar as vítimas exigindo pagamentos em bitcoin, na maioria das vezes, dentro de 72 horas, alegando ligação com o ShinyHunters. Essa prática de extorsão digital, conhecida como ransomware, tem se tornado uma ameaça crescente no cenário corporativo. Embora o vazamento ao Salesforce do Google tenha sido limitado, o episódio reforça o alerta sobre o crescimento das campanhas de engenharia social. Essas campanhas não exploram falhas técnicas, mas a confiança e a distração dos usuários, especialmente de funcionários com acesso privilegiado. O GTIG destacou que o sucesso desses golpes depende do fator humano, o que evidencia a necessidade de treinamentos contínuos e políticas internas mais rigorosas, incluindo mecanismos de autenticação avançados para prevenir acessos não autorizados.
Impacto e consequências do vazamento
Apesar do Google minimizar o impacto imediato, o vazamento gera preocupação, sobretudo porque a extensão total do ataque não foi revelada. A empresa não divulgou quantos clientes foram afetados e um porta-voz se recusou a fornecer mais detalhes além do comunicado oficial. Além disso, há indícios de que o ShinyHunters esteja preparando um site para divulgar os dados obtidos, uma prática comum entre grupos de ransomware que usam a ameaça de exposição pública para pressionar as vítimas a pagarem resgates. Este ataque se soma a uma série de violações recentes que têm como alvo bancos de dados Salesforce. Empresas como Cisco, Qantas e Pandora também foram vítimas de incidentes semelhantes, o que coloca em evidência as vulnerabilidades de sistemas baseados em nuvem, mesmo os mantidos por grandes players da tecnologia.
O caso do Google destaca a urgência de reforçar a segurança em sistemas que armazenam dados corporativos na nuvem. As empresas precisam adotar medidas além das proteções técnicas tradicionais, dando atenção especial ao fator humano, que tem se mostrado o elo mais frágil da cadeia.
Entre as recomendações estão:
- Treinamento constante dos funcionários para identificar tentativas de engenharia social
- Políticas de acesso baseadas no princípio do menor privilégio
- Implementação de autenticação multifator (MFA) rigorosa
- Monitoramento contínuo das atividades suspeitas dentro das plataformas
- Auditorias e atualização frequente dos controles de segurança
O ataque ao banco de dados Salesforce do Google reforça que, por mais avançadas que sejam as tecnologias de segurança, a ameaça humana, através dos golpes de engenharia social, continua sendo um fator crítico para as empresas. Enquanto o Google intensifica suas defesas e investiga o ocorrido, outras empresas multinacionais que utilizam sistemas semelhantes devem aproveitar esse alerta para reforçar suas próprias estratégias de segurança. A transparência nas comunicações, o treinamento efetivo dos colaboradores e o uso de ferramentas modernas de proteção são fundamentais para minimizar riscos e evitar prejuízos maiores, tanto financeiros quanto de reputação.