Uma nova página de vazamentos, operada pelo grupo conhecido como Scattered LAPSUS$ Hunters foi lançada e já trouxe uma das alegações mais impactantes do ano, a invasão à Salesforce, um dos maiores provedores SaaS e de CRM do mundo.
Segundo os hackers, o ataque ocorreu em meados de 2024 e resultou no roubo de aproximadamente 989 milhões de registros, totalizando múltiplos terabytes de dados. O material, que incluiria informações pessoais altamente sensíveis como números de Seguro Social, carteiras de motorista e datas de nascimento, estaria agora sendo negociado em troca de um acordo com a empresa antes do prazo final de 10 de outubro de 2025.
Da extorsão à denúncia pública
O grupo está conduzindo a campanha em um formato híbrido: parte ameaça de ransomware, parte relatório técnico. Em sua mensagem, acusa a Salesforce de “negligência criminosa” por não bloquear invasões recorrentes, apesar de alegar que alertas foram enviados em julho de 2025.
Os hackers afirmam que conseguiram explorar falhas relacionadas a autenticação multifator e fraquezas em integrações de OAuth, atingindo mais de 100 instâncias adicionais da plataforma. Para reforçar sua narrativa, prometem divulgar documentos forenses com impressões digitais de ataque, populações afetadas por país.
Em um movimento incomum, também convidaram escritórios de advocacia, citando inclusive Berger Montague, como potenciais parceiros para validar e apresentar provas em processos legais contra a Salesforce.
Empresas supostamente impactadas
O site mantido pelo grupo lista 39 grandes organizações como vítimas, com volumes de dados supostamente extraídos de seus sistemas Salesforce. Entre elas:
- FedEx – 1,1 TB
- Aeroméxico – 172,95 GB
- Toyota – 64 GB
- Stellantis – 59 GB
- UPS – 91,34 GB
- Disney/Hulu – 36 GB
- Adidas – 37 GB
- McDonald’s – 28 GB
- Qantas Airways – 153 GB
- Air France & KLM – 51 GB
- Home Depot – 19,43 GB
- Cisco, Marriott, Walgreens, Instacart, IKEA, Chanel, Cartier, Petco, Google Adsense, HBO Max, entre outros.
Certamente a diversidade de setores supostamente atingidos dá ao caso um potencial de impacto global, caso os dados sejam realmente autênticos.
Posição da Salesforce
Em paralelo, os hackers divulgaram uma captura de tela atribuída a um suposto comunicado interno da Salesforce, no qual a empresa reconheceria “ameaças de extorsão em andamento”, mas asseguraria que não há evidências de comprometimento de sua plataforma.
A autenticidade desse aviso, compartilhado no Telegram pelos próprios atacantes, não foi verificada de forma independente. Assim, permanece a dúvida se trata-se de uma mensagem real ou parte de uma estratégia de pressão.
Negociações e prazo final
O grupo estabeleceu 10 de outubro de 2025 como prazo limite para que a Salesforce entre em negociação. Eles exigem contato via e-mail no serviço Tuta.io, com um formato de verificação específico no assunto para validar os interlocutores antes de redirecioná-los a um canal de comunicação ao vivo.
Enquanto isso, a página de vazamentos mantém o status da ameaça como “Ativa”, aumentando a pressão pública sobre a empresa à medida que o prazo se aproxima.
Vazamento Salesforce o que está em jogo?
Se confirmadas, as alegações representam uma das maiores violações de dados da história, não apenas pelo volume, mas também pela natureza dos dados expostos. O risco vai muito além de fraudes individuais pois envolve responsabilidades legais sob legislações internacionais de proteção de dados.
A Salesforce, por sua vez, precisa equilibrar duas frentes, demonstrar que está protegendo sua base de clientes enquanto responde a uma acusação que ainda não foi comprovada.
O caso do suposto megavazamento atribuído ao grupo Scattered LAPSUS$ Hunters reforça uma tendência perigosa: a união entre grupos de cibercrime conhecidos, que combinam força, reputação e técnicas para ampliar o impacto de suas campanhas.
Enquanto o prazo de outubro se aproxima, resta a dúvida, estamos diante de uma das maiores violações já registradas ou de uma operação de pressão altamente elaborada?
