Salve Geeks, como vocês estão? A CrowdStrike demitiu um insider suspeito após detectar que ele compartilhou capturas de tela internas externamente, em meio a alegações de acesso de um coletivo de hackers.
O que aconteceu
Na noite de quinta e manhã de sexta, um canal público no Telegram vinculado ao coletivo Scattered Lapsus$ Hunters publicou imagens que supostamente demonstravam acesso a painéis internos da CrowdStrike. As capturas, citadas pela reportagem do TechCrunch, mostravam links para recursos da empresa e telas do painel Okta de um usuário — a ferramenta que muitas empresas usam para autenticação única (SSO).
Reivindicação dos hackers e resposta da CrowdStrike
O grupo afirmou ter invadido a CrowdStrike usando dados roubados da Gainsight, uma plataforma de gerenciamento de relacionamento com o cliente (CRM) que atua junto a clientes da Salesforce. Segundo a publicação dos hackers, informações da Gainsight teriam sido aproveitadas para obter acesso à CrowdStrike.
A CrowdStrike, porém, negou que seus sistemas tenham sido comprometidos e informou ter encerrado o acesso do funcionário depois de determinar que ele compartilhou fotos da sua tela externamente. Em comunicado citado pela reportagem do TechCrunch e em seus canais oficiais (comunicado da CrowdStrike), a empresa afirmou que clientes permaneceram protegidos e que o caso foi encaminhado às autoridades.
Quem é o Scattered Lapsus$ Hunters?
O Scattered Lapsus$ Hunters é um coletivo que agrega membros de grupos como ShinyHunters, Scattered Spider e Lapsus$. Em ataques anteriores, o grupo tem recorrido majoritariamente a técnicas de engenharia social: enganar funcionários para que eles revelem credenciais, cliquem em links maliciosos ou, como neste caso, compartilhem capturas de tela com dados sensíveis.
O que é engenharia social?
Engenharia social é o conjunto de técnicas que explora confiança e erro humano em vez de bugs técnicos. No dia a dia geek, é como se alguém pedisse a senha do seu Steam fingindo ser do suporte — e você, acreditando, fornecesse. Por isso a prevenção depende tanto de tecnologia quanto de hábitos.
Okta e Gainsight: por que aparecem nessa história
Okta é um provedor de autenticação e gerenciamento de identidade (SSO/MFA). Se um invasor obtém acesso a um painel Okta, ele pode potencialmente acessar diversos serviços corporativos. Já a Gainsight é uma plataforma CRM usada para gerenciar dados de clientes; comprometimentos em fornecedores terceirizados como essa costumam ser vetores para ataques em empresas clientes.
Impacto e contexto
Fontes ligadas à investigação relataram a publicação de várias capturas de tela e a alegação, por parte do coletivo, de ter obtido dados em larga escala em ataques anteriores — incluindo uma reivindicação de mais de 1 bilhão de registros vinculados a incidentes envolvendo clientes da Salesforce. Essas alegações foram divulgadas publicamente por grupos de mídia que cobriram a onda de vazamentos do coletivo (veja, por exemplo, cobertura do setor em TechCrunch).
Boas práticas para empresas e profissionais
- Verificação multifatorial (MFA): Ative MFA robusta e prefira métodos modernos (chaves FIDO2) quando possível.
- Limitação de privilégios: Princípio do menor privilégio para contas e painéis administrativos.
- Monitoramento de sessão: Registre acessos e revogue sessões suspeitas imediatamente.
- Treinamento contínuo: Simulações de engenharia social e reforço de práticas seguras para funcionários.
- Política de compartilhamento de telas: Evitar capturas de telas que exponham tokens, e-mails administrativos ou identificadores internos; use ferramentas que ofusquem informações sensíveis.
Prós e contras das respostas da empresa
- Prós: Ação rápida para revogar acesso do insider e comunicação pública ajudam a limitar danos e manter confiança dos clientes.
- Contras: Alegações contraditórias em redes públicas — como as dos hackers — tendem a gerar ruído e incerteza; transparência parcial pode alimentar desconfiança até que investigações oficiais avancem.
Perguntas frequentes
Os sistemas da CrowdStrike foram comprometidos?
A empresa afirma que não; declarou que os sistemas não foram comprometidos e que clientes permaneceram protegidos. As alegações dos hackers até agora se baseiam em capturas de tela e declarações públicas no Telegram.
O que é um insider e por que é perigoso?
Insider é um funcionário ou pessoa com acesso legítimo a recursos internos. O risco vem da combinação de acesso e conhecimento: uma captura de tela ou credencial compartilhada pode permitir movimentos laterais na rede.
O que usuários e administradores devem fazer agora?
Reforce MFA, revise privilégios, monitore logs de acesso e eduque equipes sobre engenharia social. Se sua empresa usa fornecedores como Gainsight, avalie controles e acordos de segurança com esses parceiros.
Se surgirem novos desenvolvimentos oficiais ou relatórios detalhados das autoridades, acompanhar fontes confiáveis é essencial. Enquanto isso, a lição é clara: segurança técnica precisa andar de mãos dadas com hábitos humanos — e atenção constante ao que é compartilhado, mesmo em mensagens aparentemente inocentes.