Ameaças Emergentes nas Plataformas de Experiência do Cliente: Uma Brecha de Segurança Ignorada
As plataformas de experiência do cliente (CX) processam bilhões de interações não estruturadas anualmente: formulários de pesquisa, sites de avaliação, redes sociais e transcrições de call centers são integrados a motores de IA que desencadeiam fluxos de trabalho automatizados, impactando sistemas como folha de pagamento, CRM e sistemas de pagamento. No entanto, essas plataformas muitas vezes não são monitoradas por ferramentas de segurança, criando uma brecha explorada por atacantes. Eles contaminam os dados, e a IA executa ações prejudiciais.
O Caso Salesloft/Drift: Um Alerta para a Comunidade de Segurança
Em agosto de 2025, um ataque à Salesloft revelou essa vulnerabilidade. Os atacantes comprometeram o ambiente do GitHub da empresa, roubaram tokens OAuth de chatbots da Drift e acessaram ambientes do Salesforce em mais de 700 organizações, incluindo grandes nomes como Cloudflare e Zscaler. Isso foi feito sem o uso de malware, destacando a sofisticação das ameaças atuais.
A Lacuna na Prevenção de Perda de Dados (DLP)
Embora 98% das organizações tenham programas de prevenção de perda de dados (DLP), apenas 6% possuem recursos dedicados, segundo o relatório de 2025 da Proofpoint. Além disso, 81% das intrusões interativas agora usam acessos legítimos, conforme o relatório da CrowdStrike. A maioria das equipes ainda classifica as plataformas de experiência como ferramentas de pesquisa, subestimando seu risco potencial.
Seis Falhas de Controle na Segurança das Plataformas CX
1. Dados de Sentimentos Não Estruturados Escapam ao DLP
As políticas de DLP geralmente classificam informações pessoais estruturadas, mas respostas de texto aberto em plataformas CX podem conter reclamações salariais e críticas a executivos, que não seguem padrões de PII. Quando uma ferramenta de IA externa acessa esses dados, o DLP não detecta.
2. Tokens de API “Zumbis” Permanecem Ativos
Tokens OAuth de campanhas já finalizadas muitas vezes não são revogados, criando caminhos de movimento lateral abertos. Esse risco foi destacado por Patrick Opet, CISO do JPMorgan Chase, em uma carta aberta de 2025.
3. Canais Públicos Não Possuem Mitigação de Bots
Respostas fraudulentas em canais como avaliações do Trustpilot ou Google Maps não são detectadas por controles de perímetro. Não há categoria de proteção para essas entradas públicas em motores de IA de plataformas CX.
4. Movimentação Lateral Via Chamadas de API Aprovadas
Adversários usam logins legítimos para acessar dados de forma não padrão, sem que os sistemas de gerenciamento de eventos de segurança detectem o comportamento anômalo.
5. Usuários Não Técnicos com Privilégios de Admin
Equipes de marketing e RH configuram integrações CX rapidamente, sem supervisão de segurança. Isso cria administradores-sombra que expõem a organização a riscos.
6. Feedback em Texto Aberto Exposto Antes da Máscara de PII
Avaliações de funcionários e feedbacks de clientes chegam sem filtragem de dados pessoais, expondo informações sensíveis em caso de violação.
Conclusão: A Necessidade de Monitoramento Contínuo
Essas falhas partem de uma raiz comum: a falta de monitoramento e gestão de postura de segurança em plataformas CX, comparadas a soluções como Salesforce. Algumas organizações estão estendendo ferramentas de SSPM para cobrir plataformas CX, mas o que realmente se necessita é uma integração direta entre gestão de postura e a camada CX para garantir monitoramento contínuo e proteção automatizada.
O primeiro passo para endereçar essa lacuna é auditar e eliminar tokens zumbis, onde começam as brechas em escala Drift. Um ciclo de validação de 30 dias deve ser considerado urgente, pois a IA não espera.
