2026-05-05 00:00
← VoltarCada ferramenta de IA, automação de fluxo de trabalho e aplicativo de produtividade que seus funcionários conectados ao Google ou Microsoft este ano deixaram algo para trás: um token OAuth persistente sem data de validade, sem limpeza automática e, na maioria das organizações, ninguém o observa. Seus controles de perímetro não veem isso. Seu MFA não impede isso. E quando um invasor consegue uma, ele não precisa de uma senha. As concessões OAuth não expiram quando os funcionários saem. Eles não são redefinidos quando as senhas são alteradas. E na maioria das organizações ninguém os observa. O modelo fazia sentido quando alguns aplicativos aprovados por TI precisavam de acesso ao calendário.
Isso não se sustenta quando cada funcionário conecta de forma independente ferramentas de IA, automações de fluxo de trabalho e aplicativos de produtividade diretamente em seu ambiente Google ou Microsoft – cada um recebendo um token persistente e com escopo definido, sem expiração automática e sem visibilidade centralizada. Isso não é uma configuração incorreta. É assim que o OAuth foi projetado para funcionar. A lacuna é que a maioria dos programas de segurança não foi criada para dar conta disso em grande escala. Uma nova pesquisa da Material Security quantifica a lacuna entre a conscientização e a ação. 80% dos líderes de segurança consideram que as concessões OAuth não gerenciadas são um risco crítico ou significativo. A maioria diz isso há anos. Mas a consciência não se traduz...
Cada ferramenta de IA, automação de fluxo de trabalho e aplicativo de produtividade que seus funcionários conectados ao Google ou Microsoft este ano deixaram algo para trás: um token OAuth persistente sem data de validade, sem limpeza automática e, na maioria das organizações, ninguém o observa. Seus controles de perímetro não veem isso. Seu MFA não impede isso. E quando um invasor consegue uma, ele não precisa de uma senha. As concessões OAuth não expiram quando os funcionários saem. Eles não são redefinidos quando as senhas são alteradas. E na maioria das organizações ninguém os observa. O modelo fazia sentido quando alguns aplicativos aprovados por TI precisavam de acesso ao calendário.
Isso não se sustenta quando cada funcionário conecta de forma independente ferramentas de IA, automações de fluxo de trabalho e aplicativos de produtividade diretamente em seu ambiente Google ou Microsoft – cada um recebendo um token persistente e com escopo definido, sem expiração automática e sem visibilidade centralizada. Isso não é uma configuração incorreta. É assim que o OAuth foi projetado para funcionar. A lacuna é que a maioria dos programas de segurança não foi criada para dar conta disso em grande escala. Uma nova pesquisa da Material Security quantifica a lacuna entre a conscientização e a ação. 80% dos líderes de segurança consideram que as concessões OAuth não gerenciadas são um risco crítico ou significativo. A maioria diz isso há anos. Mas a consciência não se traduz diretamente em capacidade.
Uma parcela substancial das organizações (45%) não está fazendo nada para monitorar as concessões OAuth em grande escala. Muitos dos demais (33%) estão executando processos manuais – rastreando concessões em planilhas, revisando permissões ad hoc, contando com funcionários para sinalizar comportamentos incomuns em aplicativos. As planilhas não são um recurso de resposta a ameaças. Eles são um registro de quanta exposição uma organização não sabe que tem. O argumento para a visibilidade do OAuth muitas vezes é apresentado como funcionários canalizando informações confidenciais para ferramentas de terceiros sem visibilidade de TI. Esse é um problema real, mas é o menor. A questão mais urgente é que as concessões OAuth são um vetor de ataque ativo. O incidente do Drift torna isso concreto.
Drift, uma plataforma de engajamento de vendas adquirida pela Salesloft, manteve integrações OAuth com instâncias do Salesforce em centenas de organizações de clientes. Um ator de ameaça rastreado pela Unidade 42 de Palo Alto como UNC6395 obteve tokens de atualização OAuth válidos – provavelmente por meio de campanhas de phishing anteriores – e os usou para acessar ambientes Salesforce pertencentes a mais de 700 organizações. A estrutura do ataque é um aviso: os tokens eram legítimos, a integração era legítima. Do ponto de vista de qualquer controle perimetral, não havia nada de errado. A MFA foi totalmente ignorada porque o invasor não estava fazendo login – eles estavam apresentando um token que o Drift já tinha permissão para usar. Uma vez lá dentro, o UNC6395 exportou dados sistematicamente e os vasculhou em busca de credenciais: chaves de acesso AWS, tokens Snowflake, senhas. Cloudflare, PagerDuty e dezenas de outros foram afetados. O escopo completo ainda está sendo avaliado.
O incidente do Drift não foi um ataque de um aplicativo suspeito e desconhecido. Foi um ataque feito por alguém confiável. A lição não é que as organizações devam restringir as integrações do OAuth; é que confiar em um aplicativo no momento da instalação não significa que ele permaneça confiável e que as concessões do OAuth precisam de monitoramento ativo e contínuo, em vez de aceitação passiva. A geração atual de ferramentas de segurança OAuth aborda o risco do OAuth no ponto de instalação. Eles verificam se o escopo de permissão solicitado é excessivo. Eles podem sinalizar aplicativos de fornecedores com má reputação. Isso é útil – mas não é suficiente. Para o cenário Drift, um aplicativo legítimo cujas credenciais foram posteriormente roubadas e transformadas em armas – ele não captura nada.
Para começar, os níveis de confiança do fornecedor e os escopos dos aplicativos são importantes, mas contam apenas parte da história. Monitorar o comportamento real do aplicativo – as chamadas de API que ele faz, as ações que ele executa – é fundamental para entender o que o aplicativo está realmente fazendo, e não apenas o que ele poderia fazer. E mesmo assim, sem visibilidade profunda da(s) conta(s), o aplicativo está vinculado, você ainda está operando meio cego. Um aplicativo arriscado vinculado à conta de um estagiário é uma coisa – o mesmo aplicativo usado por um VIP com acesso a inúmeros e-mails, arquivos e sistemas confidenciais é algo completamente diferente. O ataque Drift não envolveu um aplicativo suspeito solicitando permissões incomuns na instalação. Envolvia um aplicativo legítimo cujas credenciais foram posteriormente comprometidas e transformadas em armas. Uma ferramenta que apenas avalia a subvenção no momento da criação não teria visto nada de errado. O risco se materializou mais tarde – quando o token foi roubado e usado por um ator totalmente diferente.
O agente de remediação de ameaças OAuth da Material Security é construído em torno desse modelo mais completo de risco OAuth. O agente funciona continuamente no ambiente do Google Workspace de uma organização, monitorando todos os aplicativos conectados ao OAuth, e não apenas os novos no momento da concessão. Para cada aplicativo conectado, o agente avalia três fatores juntos: Essas entradas se combinam em um sinal de risco que reflete tanto a probabilidade de um problema quanto seu impacto potencial. Quando o agente identifica uma concessão de alto risco, ele pode agir imediatamente – revogando o token antes que o dano seja causado. Para situações de menor certeza envolvendo aplicativos de missão crítica, a descoberta é apresentada à equipe de segurança com contexto completo: o que é o aplicativo, o que está fazendo, a que tem acesso e qual é a pontuação de risco. As organizações configuram seus próprios limites: quanto risco aciona a correção automatizada e onde está o limite para exigir a aprovação humana. O agente foi projetado para manter as equipes de segurança informadas sobre as decisões importantes e fora do circuito para as que não são importantes. As concessões OAuth são a forma padrão pela qual aplicativos e ferramentas de IA de terceiros se conectam ao espaço de trabalho corporativo.
Isso não está mudando. O número de subvenções na maioria dos ambientes continuará a crescer à medida que a adoção da IA acelera. Dizer aos funcionários que eles não podem usar ferramentas de IA não é uma postura de segurança viável para a maioria das organizações – e não resolveria a ameaça representada por aplicativos que são legítimos na instalação e maliciosos posteriormente. A resposta não é menos concessões OAuth. É uma melhor visibilidade dos que existem, um monitoramento contínuo de seu comportamento e a capacidade operacional para responder com rapidez suficiente e inteligente o suficiente para evitar a interrupção das integrações que mantêm o negócio funcionando. Para equipes de segurança que desejam ter visibilidade sobre o que está realmente conectado ao seu ambiente — e a capacidade de responder quando algo muda, entre em contato com a Material Security para obter uma demonstração do agente de remediação de ameaças OAuth. Aprenda como impedir ataques do paciente zero antes que eles ignorem a detecção e comprometam seus sistemas nos pontos de entrada. Aprenda como validar caminhos de ataque reais e reduzir riscos exploráveis com validação contínua de segurança de agente.
Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.