Os tokens OAuth não expiram quando os funcionários saem da empresa, as senhas são alteradas ou os aplicativos se tornam maliciosos. Seu programa de segurança precisa entender esse risco e remover permissões desnecessárias e abandonadas o mais rápido possível.
Imagine uma chave reserva. Você a entregou a um prestador de serviços há seis meses para que ele consertasse seu sistema de ar condicionado. O serviço foi concluído. O prestador de serviços foi embora. Mas a chave ainda funciona e você nunca a pediu de volta. É mais ou menos isso que acontece sempre que alguém na sua empresa conecta um aplicativo de terceiros ao Google Workspace ou ao Microsoft 365 usando o OAuth. As chaves digitais são criadas pelos seus funcionários. Elas não expiram e, na maioria das organizações, ninguém as rastreia, revisa ou remove quando não são mais necessárias!
OAuth É o sistema por trás daqueles botões "Conectar com o Google" e "Permitir acesso" que sua equipe clica todos os dias. Ele permite que aplicativos leiam sua agenda, enviem e-mails em seu nome ou extraiam dados do seu armazenamento em nuvem, tudo isso sem compartilhar sua senha real. Parece ótimo. O problema é que o token de acesso que ele cria permanece ativo mesmo depois de você ter esquecido que o aplicativo existe. Ele não é cancelado quando um funcionário sai da empresa. Não é redefinido quando alguém altera a senha. Sua autenticação multifator não impede um invasor que já possui um token válido.
Uma pesquisa da Segurança material Descobriu-se que 80% dos líderes de segurança consideram as concessões OAuth não gerenciadas um risco crítico ou significativo. Esse número permanece alto há anos. A conscientização pode não ser o principal problema aqui, mas sim a mitigação dessa ameaça. is.
45% As organizações não fazem nada para monitorar as concessões OAuth em larga escala.
33% dependem de rastreamento manual, como planilhas e revisões pontuais.
Uma planilha que mostra quais aplicativos têm acesso não é a mesma coisa que saber o que esses aplicativos estão fazendo com esse acesso. Uma coisa é uma lista. Outra é segurança. No momento, a maioria das equipes só tem a lista.
Em 2024 e 2025, um agente malicioso conhecido como UNC6395 (monitorado pela Unidade 42 de Palo Alto) usou tokens de atualização OAuth roubados da Drift, uma plataforma de engajamento de vendas, para acessar os ambientes Salesforce de mais de 700 organizações. A Drift possuía conexões OAuth legítimas com essas contas Salesforce. O invasor obteve esses tokens, provavelmente por meio de ataques de phishing anteriores, e entrou diretamente pelos sistemas.
O que tornou esse ataque tão eficaz?
Nada parecia suspeito. Os tokens eram válidos. O aplicativo era confiável. O login nunca aconteceu porque o invasor não fez login de forma alguma. Ele apresentou um token existente que o Drift já tinha permissão para usar. A autenticação multifator (MFA) não teve qualquer influência, pois nenhuma senha foi inserida. Uma vez dentro do sistema, o UNC6395 extraiu dados e os analisou em busca de credenciais como chaves da AWS, tokens do Snowflake e senhas. Cloudflare, PagerDuty e dezenas de outros serviços foram afetados.
A conclusão não é que o Drift era um aplicativo ruim. A conclusão é que um aplicativo confiável no momento da instalação pode se tornar um risco posteriormente se suas credenciais forem roubadas. Suas ferramentas de segurança precisam monitorar o que os aplicativos conectados fazem ao longo do tempo, e não apenas quais permissões eles solicitaram no primeiro dia.
A maioria das ferramentas de segurança OAuth funciona no momento em que um aplicativo se conecta. Elas verificam se as permissões solicitadas parecem excessivas e sinalizam aplicativos de fornecedores desconhecidos. Isso é realmente útil e você deveria estar fazendo isso. Mas não é suficiente por si só.
Um aplicativo conhecido e confiável, com permissões razoáveis, passaria facilmente por essas verificações. Se as credenciais desse aplicativo forem roubadas seis meses depois, sua revisão no momento da instalação não detectará nada. O risco surgiu depois do ocorrido.
Quando o OAuth foi projetado, o caso de uso típico era um pequeno número de aplicativos aprovados pela TI obtendo acesso limitado a calendários compartilhados. Essa era uma situação administrável. Hoje, cada funcionário conecta, de forma independente, ferramentas de IA, aplicativos de anotações, plataformas de automação e complementos de produtividade às suas contas de trabalho. Cada conexão cria um token. Nenhum desses tokens expira automaticamente. A maioria das organizações não sabe quantos tokens possui.
À medida que as ferramentas de IA se tornam padrão no ambiente de trabalho, o número de conexões OAuth em seu ambiente aumentará. Impedir completamente que os funcionários usem ferramentas de IA não é realista e, de qualquer forma, não teria impedido o ataque Drift, já que ele começou com uma integração confiável e aprovada.
Comece por gerar uma lista de todos os aplicativos OAuth conectados ao seu ambiente do Google Workspace ou Microsoft 365. Ambas as plataformas permitem que os administradores façam isso sem ferramentas de terceiros. Procure por aplicativos que você não reconhece, aplicativos conectados a contas de pessoas que já saíram da empresa e aplicativos com permissões muito amplas, como "ler todos os e-mails" ou "acessar todos os arquivos". Essas são as suas primeiras prioridades para revisar e revogar.
A partir daí, crie o hábito de revisar as permissões OAuth trimestralmente. Leva menos tempo do que você imagina depois da limpeza inicial e evita que a lista fique fora de controle novamente. Quando os funcionários saírem da empresa, inclua a revogação do OAuth na sua lista de verificação de desligamento, juntamente com a redefinição de senhas e a desativação de contas.
Seu passo a passo no CyberHoot
Esta semana, acesse o seu Console de Administração do Google ou o portal Microsoft Entra e extraia a lista de aplicativos de terceiros conectados. Conte-os. Você provavelmente se surpreenderá. Escolha os cinco que parecem menos familiares e revise os acessos que eles têm. Revogue os acessos daqueles que não deveriam estar lá. Essa simples ação torna sua organização significativamente mais segura hoje mesmo. Mãos à obra!
admin.google.com → Users → [User] → Security → Connected Applications
learn.microsoft.com/en-us/entra/identity/enterprise-apps/manage-application-permissions
Descubra e compartilhe as últimas tendências, dicas e melhores práticas de segurança cibernética, além de novas ameaças às quais você deve ficar atento.
Os novos conjuntos de dados de referência MDASH e Claude Mythos Preview são os principais agentes de IA que encontram vulnerabilidades de dia zero...
Ler mais
Uma senha esquecida, quase uma catástrofe. Um único computador com Windows em uma loja de varejo tinha uma senha em cache...
Ler mais
Agora você tem cinco motivos importantes para iniciar uma conversa sobre segurança de roteadores com seus clientes de pequenas empresas...
Ler maisTenha uma visão mais aguçada dos riscos humanos com uma abordagem positiva que supera os testes de phishing tradicionais.
