CTOLCTOL Solutions
CTOL Digital SolutionsCTOL Digital Solutions FRCTOL Digital Solutions DACHCTOL 디지털 솔루션希图科技シートーデジタル解決Soluções Digitais CTOLCTOL Soluciones Digitales
Notícias
Serviços Consultoria para CIO/CTOComputação em NuvemMarketing Digital e VendasCiência de Dados e Inteligência de NegóciosIA Generativa para NegóciosWeb3 e DeFi para EmpresasDesenvolvimento de Aplicativos Web e MobileConsultoria em Negócios DigitaisModernização de Aplicações LegadasDesign Web e Experiência do Usuário
Indústrias Aeroespacial e DefesaAutomotivoBancárioMercados de CapitaisComunicações e MídiaBens de Consumo e ServiçosEnergiaSaúde e Cuidados MédicosInternetManufaturaSegurosSetor Público e SocialVarejoViagensTelecomunicaçõesFarmacêuticoPrivate Equity e Venture CapitalEducaçãoPetróleo e GásImóveisConstrução e Materiais de ConstruçãoServiços JurídicosGastronomia e Hospitalidade
PerspectivasSoftwaresFerramentas de IA
Entre em Contato

Workday Confirma Violação de Dados Após Hackers Se Fazerem Passar por Funcionários da Empresa em Ligações Telefônicas para Roubar Informações de Contato de Clientes

Por
Amanda Zhang
9 min de leitura
InternetAplicativo

A Vulnerabilidade do OAuth: Como a Invasão da Workday Expõe o Elo Mais Fraco do SaaS Corporativo

PLEASANTON, Califórnia — Em 6 de agosto, a Workday descobriu que cibercriminosos haviam se infiltrado em um de seus bancos de dados de relacionamento com clientes de terceiros por um método enganosamente simples: atacantes, passando-se por pessoal de RH e TI, convenceram funcionários da empresa, via chamadas telefônicas, a conceder-lhes acesso ao sistema. Sem malware sofisticado. Sem exploits de dia zero. Apenas manipulação humana calculada.

O logotipo da empresa Workday exibido em sua sede em Pleasanton, Califórnia. (wikimedia.org)
O logotipo da empresa Workday exibido em sua sede em Pleasanton, Califórnia. (wikimedia.org)

A gigante da tecnologia de recursos humanos, que atende a mais de 11.000 clientes corporativos e 70 milhões de usuários em todo o mundo, divulgou a violação em uma postagem de blog publicada na noite de sexta-feira. De acordo com o comunicado da empresa, hackers extraíram uma quantidade não revelada de informações pessoais do banco de dados, que continha principalmente detalhes de contato comercial, incluindo nomes, endereços de e-mail e números de telefone. A Workday enfatizou que não havia "nenhuma indicação de acesso a tenants de clientes ou aos dados neles contidos" — os sistemas centrais onde clientes corporativos armazenam arquivos de RH em massa e dados sensíveis de funcionários.

No entanto, este incidente representa muito mais do que uma falha de segurança isolada. A violação da Workday surge como o alvo mais recente em uma campanha coordenada que tem comprometido sistematicamente grandes empresas ao longo de 2025. Semanas recentes testemunharam ataques semelhantes contra bancos de dados de clientes do Google hospedados na Salesforce, sistemas da Cisco, a gigante aérea Qantas e varejistas de luxo, incluindo a Pandora. A equipe de segurança do Google atribuiu essas violações à ShinyHunters, um grupo cibercriminoso conhecido por usar táticas de phishing de voz para manipular funcionários corporativos a conceder acesso a bancos de dados.

O padrão revela uma evolução preocupante no cibercrime corporativo: os atacantes descobriram que a psicologia humana, e não as vulnerabilidades técnicas, oferece o caminho mais confiável para sistemas de nuvem corporativos. Essa mudança desafia suposições fundamentais sobre como as empresas modernas protegem seus ativos digitais mais valiosos.

A Muralha Humana Desmorona

A metodologia do ataque revela uma evolução preocupante no cibercrime corporativo. Em vez de tentar invadir os sistemas centrais de recursos humanos da Workday, que atendem a mais de 70 milhões de usuários em 11.000 clientes corporativos, os atacantes exploraram o que os especialistas em segurança consideram o elo mais fraco na segurança da nuvem empresarial: a confiança humana combinada com lacunas na governança de tokens OAuth.

Uma ilustração conceitual de um ataque de vishing (phishing de voz), onde um cibercriminoso manipula um funcionário por telefone para obter acesso ao sistema. (amazonaws.com)
Uma ilustração conceitual de um ataque de vishing (phishing de voz), onde um cibercriminoso manipula um funcionário por telefone para obter acesso ao sistema. (amazonaws.com)

De acordo com a divulgação da Workday, os atacantes se passaram por pessoal de RH e TI por meio de chamadas de voz, convencendo funcionários a autorizar aplicativos maliciosos que subsequentemente extraíram dados em massa por meio de canais de API legítimos. Essa técnica ignora completamente a autenticação multifator, pois os aplicativos maliciosos operam com tokens de acesso pré-autorizados.

"A sofisticação não está na tecnologia — está na engenharia social", explicou um analista de cibersegurança familiarizado com a campanha. "Esses grupos industrializaram o processo de manipulação da psicologia humana para obter acesso ao sistema."

A campanha mais ampla demonstrou notável consistência em sua abordagem. A equipe de segurança do Google, que atribuiu publicamente violações semelhantes à ShinyHunters, alertou que o grupo estava preparando sites de vazamento de dados projetados para extorquir vítimas — uma operação no estilo ransomware sem a implantação tradicional de malware.

Além das Listas de Contato: O Valor Estratégico de Dados 'Mundanos'

A Workday enfatizou que as informações comprometidas consistiam "principalmente" em dados de contato comercial — nomes, endereços de e-mail e números de telefone. No entanto, especialistas em segurança alertam que essa caracterização subestima o valor estratégico de tais informações em fases de ataque subsequentes.

"Bancos de dados de contato são munição para direcionamento preciso", observou um pesquisador de inteligência de ameaças que solicitou anonimato. "Não se trata de monetização imediata de dados — trata-se de criar a base para campanhas de engenharia social muito mais sofisticadas."

A correlação de tempo é particularmente preocupante. A Workday descobriu a violação em 6 de agosto, colocando-a diretamente dentro da janela operacional da campanha mais ampla da ShinyHunters. Inteligência recente sugere que o grupo tem colaborado com outras notórias organizações cibercriminosas, incluindo Scattered Spider e Lapsus$, em canais compartilhados do Telegram.

Implicações de Mercado: Quando a Segurança se Torna Atrito de Vendas

Para a Workday, negociadas a US$ 229,60, com um ganho diário de 1,55%, o impacto financeiro imediato parece contido. As ações da empresa mostraram resiliência em parte porque a violação não afetou os dados dos tenants dos clientes — os registros centrais de RH e financeiros que representam a principal proposta de valor da Workday.

No entanto, o incidente expõe um risco comercial mais sutil que as empresas de software empresarial enfrentam cada vez mais: incidentes de segurança que não ameaçam a funcionalidade central, mas criam atrito na aquisição. Grandes clientes corporativos já estão implementando questionários de segurança aprimorados e requisitos de auditoria que podem estender os ciclos de vendas em 60 a 90 dias.

"Estamos vendo uma mudança fundamental na forma como as empresas avaliam os fornecedores de SaaS", observou um analista do setor. "Não se trata mais apenas da segurança da plataforma central — trata-se de todo o ecossistema de aplicativos conectados e integrações de terceiros."

Essa evolução da aquisição afeta particularmente empresas em indústrias reguladas e contratos governamentais, onde incidentes de segurança podem desencadear reavaliações obrigatórias dos relacionamentos com fornecedores, independentemente do escopo técnico da violação.

A Lacuna na Governança OAuth

Você sabia que OAuth é um protocolo de padrão aberto amplamente utilizado que permite autorizar com segurança aplicativos e sites a acessar suas informações em outros serviços sem compartilhar sua senha? Em vez de fornecer seus dados de login, o OAuth fornece tokens de acesso limitados e temporários, agindo como uma "chave de manobrista" que mantém suas credenciais seguras enquanto permite que os aplicativos realizem tarefas específicas em seu nome. Essa tecnologia impulsiona recursos populares como "Fazer login com o Google" e ajuda a proteger seus dados online controlando exatamente quais informações aplicativos de terceiros podem acessar.

A vulnerabilidade técnica explorada nesses ataques — o gerenciamento de tokens OAuth — representa uma fraqueza sistêmica em todo o ecossistema de SaaS corporativo. Os tokens OAuth, projetados para permitir a integração perfeita entre aplicativos em nuvem, frequentemente carregam permissões excessivas e carecem de monitoramento adequado para atividades incomuns de exportação de dados.

Pesquisadores de segurança identificaram várias lacunas específicas que permitiram o sucesso da campanha:

Aplicativos conectados com permissões de acesso a dados excessivamente amplas permanecem autorizados indefinidamente, criando vetores de ataque persistentes. A maioria das empresas carece de monitoramento em tempo real para exportações de dados em massa ou anomalias de consulta de API que indicariam acesso não autorizado. O treinamento de funcionários geralmente se concentra em e-mails de phishing tradicionais, e não em engenharia social sofisticada baseada em voz.

O resultado é uma superfície de ataque que cresce a cada integração de SaaS, criando um risco exponencial que a segurança de perímetro tradicional não consegue abordar.

Reajuste do Cenário Competitivo

A campanha de violação está remodelando a dinâmica competitiva no setor de software empresarial. Empresas que conseguem demonstrar governança superior de OAuth e segurança de aplicativos de terceiros estão ganhando vantagens de vendas, principalmente em segmentos de mercado preocupados com segurança.

Os principais concorrentes da Workday — Oracle HCM, SAP SuccessFactors e UKG — enfrentam vulnerabilidades semelhantes em seus sistemas de gerenciamento de relacionamento com clientes e ecossistemas de fornecedores. No entanto, o incidente cria uma oportunidade de marketing para fornecedores que podem demonstrar de forma crível controles de segurança aprimorados em torno de aplicativos conectados.

A tendência mais ampla está impulsionando o aumento do investimento em ferramentas de gerenciamento de postura de segurança de SaaS (SSPM), serviços de backup e tokenização, e plataformas de governança de identidade. A recente aquisição da Own Company pela Salesforce, uma especialista em proteção de dados, sinaliza a importância estratégica de abordar essas vulnerabilidades no nível da plataforma.

Perspectiva de Investimento: Sinal Versus Ruído

Para investidores institucionais, o incidente da Workday representa um risco operacional, e não um desafio de tese fundamental. As altas taxas de retenção de clientes da empresa e sua posição consolidada nos fluxos de trabalho de RH corporativos fornecem resiliência contra a rotatividade relacionada à segurança.

No entanto, o incidente destaca vários temas de investimento que provavelmente acelerarão:

Gastos com Infraestrutura de Segurança: As empresas aumentarão os orçamentos para governança de OAuth, monitoramento de API e ferramentas de detecção de ameaças de SaaS. Empresas como Varonis, Obsidian Security e AppOmni podem se beneficiar dessa tendência.

Tecnologias de Minimização de Dados: O sucesso da campanha na monetização de dados de contato "mundanos" impulsionará a demanda por soluções de tokenização, classificação de dados e gerenciamento automatizado de retenção.

Gerenciamento de Identidade e Acesso: O fator humano nessas violações acelerará a adoção de verificação avançada de identidade, análise comportamental e plataformas de gerenciamento de acesso privilegiado.

Analistas sugerem que investimentos em tecnologia focados em segurança podem superar índices de SaaS mais amplos, à medida que as empresas priorizam a governança em detrimento do crescimento em suas estratégias de nuvem.

Avaliação de Risco Prospectiva

A campanha ShinyHunters parece estar entrando em uma fase mais agressiva. Relatórios de inteligência sugerem que o grupo está se preparando para lançar sites de extorsão com dados roubados, imitando táticas de ransomware sem a complexidade técnica da implantação de malware.

Para os clientes da Workday, isso cria riscos operacionais imediatos. As informações de contato roubadas podem alimentar campanhas de phishing direcionadas, projetadas para comprometer ambientes de clientes individuais, potencialmente levando a fraudes na folha de pagamento, manipulação de benefícios ou roubo de credenciais.

Analistas de mercado projetam que o sucesso da campanha inspirará operações semelhantes, potencialmente levando a um período sustentado de ataques de engenharia social elevados contra clientes de SaaS empresariais. Esse ambiente pode favorecer fornecedores que investem pesadamente na educação de segurança do cliente e no compartilhamento proativo de inteligência de ameaças.

O incidente também sinaliza uma possível evolução regulatória. À medida que a exfiltração de dados de contato se mostra cada vez mais valiosa para as operações cibercriminosas, os regulamentos de privacidade podem se expandir para tratar as informações de contato comercial com os mesmos requisitos de proteção que os dados pessoais do consumidor.

O Novo Paradigma de Segurança

A violação da Workday, em última análise, ilumina a inadequação dos frameworks tradicionais de cibersegurança no ambiente corporativo nativo da nuvem. Os atacantes obtiveram sucesso não por superioridade técnica, mas explorando as lacunas humanas e de processo que a integração habilitada para OAuth cria.

Para as empresas de software empresarial, isso apresenta tanto um desafio quanto uma oportunidade. Aquelas que conseguirem reimaginar a segurança como uma função de capacitação do cliente — em vez de uma obrigação de conformidade — podem descobrir vantagens competitivas em um mercado cada vez mais preocupado com a segurança.

A lição mais ampla se estende além de qualquer fornecedor individual: em um ecossistema de nuvem interconectado, a segurança é tão forte quanto o ponto de integração mais fraco. Como a campanha ShinyHunters demonstra, essa fraqueza reside cada vez mais não na tecnologia, mas no julgamento humano que a governa.

O desempenho passado não garante resultados futuros. Esta análise é baseada em informações publicamente disponíveis e nas condições atuais do mercado. Os investidores devem consultar conselheiros financeiros para orientação personalizada em relação a decisões de investimento individuais.

Você Também Pode Gostar

Este artigo foi enviado por nosso usuário sob as Regras e Diretrizes para Submissão de Notícias. A foto de capa é uma arte gerada por computador apenas para fins ilustrativos; não indicativa de conteúdo factual. Se você acredita que este artigo viola direitos autorais, não hesite em denunciá-lo enviando um e-mail para nós. Sua vigilância e cooperação são inestimáveis para nos ajudar a manter uma comunidade respeitosa e em conformidade legal.

Inscreva-se na Nossa Newsletter

Receba as últimas novidades em negócios e tecnologia com uma prévia exclusiva das nossas novas ofertas

Utilizamos cookies em nosso site para habilitar certas funções, fornecer informações mais relevantes para você e otimizar sua experiência em nosso site. Mais informações podem ser encontradas em nossa Política de Privacidade e em nossos Termos de Serviço . Informações obrigatórias podem ser encontradas no aviso legal