As plataformas de experiência do cliente (CX) processam bilhões de interações não estruturadas anualmente: formulários de pesquisa, sites de avaliação, redes sociais e transcrições de call centers são integrados a motores de IA que desencadeiam fluxos de trabalho automatizados, impactando sistemas como folha de pagamento, CRM e sistemas de pagamento. No entanto, essas plataformas muitas vezes não são monitoradas por ferramentas de segurança, criando uma brecha explorada por atacantes. Eles contaminam os dados, e a IA executa ações prejudiciais.
Em agosto de 2025, um ataque à Salesloft revelou essa vulnerabilidade. Os atacantes comprometeram o ambiente do GitHub da empresa, roubaram tokens OAuth de chatbots da Drift e acessaram ambientes do Salesforce em mais de 700 organizações, incluindo grandes nomes como Cloudflare e Zscaler. Isso foi feito sem o uso de malware, destacando a sofisticação das ameaças atuais.
Embora 98% das organizações tenham programas de prevenção de perda de dados (DLP), apenas 6% possuem recursos dedicados, segundo o relatório de 2025 da Proofpoint. Além disso, 81% das intrusões interativas agora usam acessos legítimos, conforme o relatório da CrowdStrike. A maioria das equipes ainda classifica as plataformas de experiência como ferramentas de pesquisa, subestimando seu risco potencial.
As políticas de DLP geralmente classificam informações pessoais estruturadas, mas respostas de texto aberto em plataformas CX podem conter reclamações salariais e críticas a executivos, que não seguem padrões de PII. Quando uma ferramenta de IA externa acessa esses dados, o DLP não detecta.
Tokens OAuth de campanhas já finalizadas muitas vezes não são revogados, criando caminhos de movimento lateral abertos. Esse risco foi destacado por Patrick Opet, CISO do JPMorgan Chase, em uma carta aberta de 2025.
Respostas fraudulentas em canais como avaliações do Trustpilot ou Google Maps não são detectadas por controles de perímetro. Não há categoria de proteção para essas entradas públicas em motores de IA de plataformas CX.
Adversários usam logins legítimos para acessar dados de forma não padrão, sem que os sistemas de gerenciamento de eventos de segurança detectem o comportamento anômalo.
Equipes de marketing e RH configuram integrações CX rapidamente, sem supervisão de segurança. Isso cria administradores-sombra que expõem a organização a riscos.
Avaliações de funcionários e feedbacks de clientes chegam sem filtragem de dados pessoais, expondo informações sensíveis em caso de violação.
Essas falhas partem de uma raiz comum: a falta de monitoramento e gestão de postura de segurança em plataformas CX, comparadas a soluções como Salesforce. Algumas organizações estão estendendo ferramentas de SSPM para cobrir plataformas CX, mas o que realmente se necessita é uma integração direta entre gestão de postura e a camada CX para garantir monitoramento contínuo e proteção automatizada.
O primeiro passo para endereçar essa lacuna é auditar e eliminar tokens zumbis, onde começam as brechas em escala Drift. Um ciclo de validação de 30 dias deve ser considerado urgente, pois a IA não espera.
Bad Bunny estrela filme sobre história porto-riquenha com direção de Residente. Veja detalhes do elenco…
Barry Keoghan é Duke Shelby em novo filme dos Peaky Blinders. Prepare-se para ação e…
Explore o drama coreano 'Pavane' na Netflix e emocione-se com uma história de amor e…
Lee Jun Hyuk lidera 'Awakening', um drama de exorcismo escolar. Prepare-se para emoções intensas!
Assista ao novo drama da MBC que promete emocionar. Descubra a história de Sunwoo e…
KBS1 revela elenco estelar para 'Our Happy Good Day', prometendo cativar com histórias familiares emocionantes.