A Zapier notificou os clientes na sexta-feira que um “usuário não autorizado” acessou “determinados repositórios de código Zapier” e pode ter obtido informações de clientes como consequência. Os dados foram “inadvertidamente copiados para os repositórios para fins de depuração”, conforme indicado em um e-mail obtido pelo The Verge.
A empresa tomou conhecimento do acesso indevido na quinta-feira. Assim que identificou o problema, a Zapier “imediatamente restringiu o acesso aos repositórios e revogou as permissões do usuário não autorizado”, segundo o e-mail. A companhia garante que o incidente “não comprometeu nenhum banco de dados, infraestrutura, ambiente de produção, autenticação ou sistemas de pagamento da Zapier”.
Leia também
Os repositórios de código não deveriam conter dados de clientes. No entanto, após uma auditoria, a Zapier identificou que algumas informações haviam sido copiadas “por engano”. A plataforma permite que os usuários criem automações entre aplicativos e serviços de terceiros, o que pode colocá-la no centro de diversas informações sensíveis.
O invasor conseguiu acessar os repositórios devido a uma “falha na configuração da autenticação de dois fatores (2FA) na conta de um funcionário”. A empresa agora conduz uma revisão interna para “garantir que esse tipo de incidente não se repita”.
A Zapier ainda não respondeu aos pedidos de comentário.
E-mail completo obtido pelo The Verge:
Olá,
Estamos entrando em contato para informá-lo sobre um incidente de segurança. Devido a um erro na configuração da autenticação de dois fatores (2FA) na conta de um funcionário, um usuário não autorizado conseguiu acessar determinados repositórios de código da Zapier. Em condições normais, isso não afetaria nossos clientes. No entanto, por precaução, realizamos uma auditoria nos repositórios e identificamos que, em casos isolados, algumas informações de clientes foram inadvertidamente copiadas para fins de depuração.
Detectamos o acesso não autorizado aos repositórios afetados na quinta-feira, 27 de fevereiro de 2025 (2025-02-27 09:38:48 UTC). Assim que tomamos conhecimento do incidente, restringimos imediatamente o acesso aos repositórios e revogamos as permissões do usuário não autorizado. Esse evento não afetou nenhum banco de dados da Zapier, infraestrutura, ambiente de produção, autenticação ou sistemas de pagamento.
Durante nossa auditoria, identificamos que um subconjunto de seus dados foi incluído em um repositório e pode ter sido acessado indevidamente. Aqui está um link seguro para que você possa revisar uma cópia dos dados impactados.
Recomendamos que você analise essas informações e tome as medidas cabíveis, como alterar quaisquer tokens de autenticação de texto simples que possam ter sido utilizados em códigos ou configurações de webhook encontradas nos dados expostos. Ressaltamos que seus tokens de autenticação Zap/App não foram afetados. Também sugerimos que você revise as configurações de segurança da sua conta Zapier e de outros serviços online, ativando a autenticação de dois fatores sempre que possível.
Estamos conduzindo uma auditoria detalhada e aprimorando nossos processos internos para evitar que esse problema ocorra novamente.
Caso tenha dúvidas, entre em contato conosco através do nosso formulário em https://zapier.com/app/get-help ou respondendo a este e-mail. Estamos à disposição para prestar qualquer suporte adicional necessário.
Atenciosamente,
Zeeshan Khadim
Chefe de Segurança
+Mais
Norte-coreanos avançam na lavagem de dinheiro após roubo bilionário da Bybit
ICO do Reino Unido investiga TikTok, Reddit e Imgur por proteção de dados infantis
CVE-2025-24752: Falha crítica em plug-in do WordPress coloca milhões de sites em risco