A startup especializada em prevenção de perda de dados, Cyberhaven, revelou que foi alvo de um ataque cibernético que resultou na publicação de uma atualização maliciosa em sua extensão para o navegador Chrome. Essa atualização foi capaz de roubar senhas e tokens de sessão dos clientes, conforme indica um comunicado enviado pela empresa, alertando que muitos usuários podem ter sido vítimas desse que aparenta ser um ataque à cadeia de suprimentos. O evento ocorreu no dia 25 de dezembro e levantou questões acerca da segurança e vulnerabilidades que podem afetar milhões de usuários de extensões populares na plataforma.
Na sexta-feira, em declaração ao TechCrunch, a Cyberhaven confirmou a ocorrência do ataque, mas optou por não divulgar detalhes específicos do incidente. Um e-mail da empresa, obtido e compartilhado pelo pesquisador de segurança Matt Johansen, revelou que hackers conseguiram comprometer uma conta da empresa para lançar uma atualização maliciosa de sua extensão. Essa ação foi realizada nas primeiras horas do natal, quando, segundo a mensagem, “é possível que informações sensíveis, incluindo sessões autenticadas e cookies, sejam exfiltradas para o domínio do atacante”, o que gera uma séria preocupação sobre a integridade dos dados dos clientes da Cyberhaven.
Em sua comunicação, a Cyberhaven, que fornece soluções de proteção contra exfiltração de dados e outras ciberataques, não forneceu informações sobre o número exato de clientes afetados. Contudo, é importante destacar que a empresa lista gigantes da tecnologia como Motorola, Reddit e Snowflake entre seus clientes, além de escritórios de advocacia e grandes seguradoras de saúde. O impacto desse ataque pode ser significativo, dado que a extensão da Cyberhaven possui aproximadamente 400 mil usuários corporativos, conforme indicado na loja oficial do Chrome no momento da escrita deste artigo.
Após a detecção do ataque, a equipe de segurança da Cyberhaven conseguiu identificar a extensão maliciosa, identificada como versão 24.10.4, e removê-la da Chrome Web Store ainda no mesmo dia. Uma atualização legítima da extensão, versão 24.10.5, foi disponibilizada em seguida. Apesar dessas ações corretivas, a empresa alertou os usuários a “revogar” e “rotacionar todas as senhas” e outras credenciais, como tokens de API. Além disso, os clientes foram orientados a revisar seus próprios logs em busca de atividades maliciosas, considerando que tokens de sessão e cookies roubados podem ser utilizados para acesso a contas sem a necessidade de um código de dois fatores ou senha, permitindo assim que hackers contornem esses mecanismos de segurança.
Um aspecto distintivo desse ataque é a confirmação de que a conta comprometida era a “única conta administrativa para a Google Chrome Store”, ou seja, um ponto crítico de acesso que, uma vez violado, poderia abrir portas para múltiplas extensões e usuários. Cyberhaven não forneceu detalhes sobre como a conta foi comprometida ou quais políticas de segurança estavam em vigor que permitiram essa violação. A empresa apenas afirmou que iniciou uma revisão abrangente de suas práticas de segurança e que implementará salvaguardas adicionais baseadas nas descobertas.
Além disso, a Cyberhaven contratou uma empresa de resposta a incidentes, a Mandiant, para ajudar a esclarecer a situação e está cooperando ativamente com as autoridades federais. Jaime Blasco, cofundador e CTO da Nudge Security, comentou em postagens sobre a plataforma X que outras extensões do Chrome também foram comprometidas como parte da mesma campanha, envolvendo extensões com dezenas de milhares de usuários. Ele acredita que, pelo padrão do ataque, não houve uma intenção específica contra a Cyberhaven, mas que os atacantes miraram em desenvolvedores de extensões de maneira oportunista, visando extensões que puderam ser acessadas a partir das credenciais que tinham.
Em sua declaração, a Cyberhaven acrescentou que “relatos públicos sugerem que esse ataque faz parte de uma campanha mais ampla para atacar desenvolvedores de extensões do Chrome em diversas empresas”. Neste ponto, ainda não se sabe quem é o responsável por essa campanha e outras empresas afetadas e suas extensões ainda aguardam confirmação. O que é evidente, porém, é que esse incidente expõe não apenas as fragilidades de segurança enfrentadas por empresas de tecnologia, mas também o risco que um único ataque pode representar para uma vasta rede de usuários ao redor do mundo. Portanto, lembre-se de estar sempre atento à segurança de suas informações, pois a prevenção é a melhor ferramenta contra eventuais surpresas desagradáveis na era digital.
