O Fornecedor Agora É a Superfície de Ataque
Por uma década, as equipes de segurança empresarial se concentraram na defesa de perímetro: proteger a rede, proteger os endpoints, controlar o acesso a sistemas internos. O modelo de ameaça assumia que os atacantes tentariam penetrar a organização diretamente.
Os dados de violações de SaaS de 2024 mostram que esse modelo está obsoleto. As violações de SaaS aumentaram 300% em 2024, de acordo com o Relatório de Ameaças de Segurança SaaS 2025 da Obsidian Security. Os atacantes não estão mais mirando nas organizações diretamente — eles estão mirando nos fornecedores de SaaS que essas organizações confiam com seus dados.
Quando seu fornecedor é a superfície de ataque, o fato de que sua própria rede esteja segura é irrelevante. Os dados dos clientes, registros de funcionários e informações comerciais sensíveis que você processou através desse fornecedor estão em sua infraestrutura, acessíveis com suas chaves, e expostos quando seus sistemas são comprometidos.
Números de Violações de SaaS de 2024
A escala das violações de SaaS de 2024 ilustra a exposição:
Conduent sofreu uma violação que expôs 25,9 milhões de registros. A Conduent fornece serviços de terceirização de processos de negócios para agências governamentais e grandes empresas — incluindo administração de benefícios, processamento de pagamentos e portais de serviços ao cidadão. Os 25,9 milhões de registros incluíam indivíduos que interagiram com serviços governamentais e não tinham conhecimento de que suas informações estavam sob a responsabilidade de um fornecedor terceirizado.
NHS Digital sofreu uma violação que afetou 9 milhões de pacientes. A violação do NHS expôs dados de pacientes processados através da infraestrutura de um fornecedor de SaaS — informações clínicas que os pacientes forneceram a seus prestadores de serviços de saúde e que não tinham razão para acreditar que foram transmitidas a uma plataforma terceirizada.
Esses não são casos isolados. Eles representam o novo normal para a exposição de dados: violações em larga escala que afetam milhões de indivíduos que forneceram dados a organizações em que confiavam, que os repassaram a fornecedores que esses indivíduos nunca souberam que existiam.
Por Que as Violações de SaaS São Estruturalmente Diferentes
As violações de rede tradicionais exigem que os atacantes penetrem o perímetro de uma organização, naveguem por sistemas internos e exfiltratem dados — um processo de múltiplas etapas com várias oportunidades de detecção.
As violações de SaaS operam de maneira diferente. Os atacantes que comprometem um fornecedor de SaaS ganham acesso aos dados de todos os clientes que processaram informações através desse fornecedor. Um único comprometimento resulta nos registros de clientes de dezenas ou centenas de clientes empresariais simultaneamente.
A janela de violação de 9 minutos — o tempo entre o acesso inicial e o comprometimento de dados em ambientes SaaS, de acordo com os dados de resposta a incidentes da Obsidian Security — reflete essa diferença estrutural. Uma vez dentro da infraestrutura de um fornecedor, os atacantes encontram dados de várias organizações armazenados em um ambiente compartilhado. A superfície de ataque concentra o valor.
Para organizações que assinaram Acordos de Processamento de Dados compatíveis com o GDPR com seus fornecedores de SaaS, a violação não elimina a responsabilidade de conformidade. O Artigo 82 do GDPR atribui responsabilidade conjunta aos processadores de dados por violações que resultam de sua não conformidade com as obrigações do GDPR. Mas a responsabilidade conjunta requer a prova de que o fornecedor estava em não conformidade — uma investigação complexa que leva meses enquanto os dados já estão nas mãos de atores de ameaça.
O DPA Não Protege os Dados
O Artigo 28 do GDPR exige que as organizações utilizem apenas processadores que forneçam "garantias suficientes" para implementar medidas técnicas e organizacionais apropriadas. O Acordo de Processamento de Dados é a evidência contratual dessas garantias.
Assim como o BAA do HIPAA, o DPA aborda a relação contratual. Ele não aborda a realidade técnica do que acontece com seus dados na infraestrutura do fornecedor.
Um fornecedor de SaaS operando sob um DPA compatível com o GDPR ainda pode:
- Armazenar os dados de seus clientes usando criptografia do lado do servidor com chaves controladas pelo fornecedor
- Processar as informações de seus funcionários em um ambiente multi-inquilino compartilhado com outros clientes
- Manter logs de dados, registros de processamento e conteúdo em cache além dos propósitos especificados em seu contrato
- Ter sua infraestrutura comprometida de uma forma que exponha tudo isso
O DPA cria obrigações. Ele não cria uma barreira técnica à exposição de dados. Quando os atacantes comprometem o fornecedor em 9 minutos, o DPA não os desacelera.
O Aumento de 300% É um Efeito de Seleção
O aumento de 300% nas violações de SaaS reflete duas tendências que operam simultaneamente.
Primeiro, o volume absoluto de dados nas plataformas de SaaS cresceu substancialmente em 2024. À medida que mais organizações transferiram mais processos para fornecedores baseados em nuvem, os dados disponíveis nos ambientes dos fornecedores aumentaram proporcionalmente. Mais dados na infraestrutura do fornecedor criam mais incentivo para os atacantes mirarem na infraestrutura do fornecedor.
Em segundo lugar, os atacantes adaptaram sua metodologia para corresponder à concentração de valor. As organizações agora processam mais dados sensíveis através de mais fornecedores de SaaS do que nunca — registros de clientes, transações financeiras, dados de RH, documentos legais, informações de saúde. Os fornecedores de SaaS se tornaram alvos de alto valor porque comprometer um fornecedor resulta em dados de muitas organizações.
O número de 300% descreve uma mudança estrutural em direção a onde os ataques são direcionados, não meramente um aumento na atividade criminosa genérica.
Arquitetura de Zero-Knowledge como Mitigação de Risco do Fornecedor
A mudança conceitual que a arquitetura de zero-knowledge requer é simples: se seu fornecedor não pode ser confiável para manter seus dados de forma segura — não por causa de uma falha específica, mas porque qualquer fornecedor pode ser comprometido — então seus dados nunca devem chegar ao seu fornecedor em forma identificável.
A anonimização de zero-knowledge antes da transmissão para fornecedores de SaaS muda fundamentalmente a exposição à violação. Quando um fornecedor que usa dados processados por zero-knowledge é comprometido:
- Os atacantes acessam registros anonimizados sem identificadores de clientes recuperáveis
- Nenhuma notificação ao titular dos dados é necessária porque nenhum dado pessoal foi exposto
- Nenhuma investigação de responsabilidade conjunta do Artigo 82 do GDPR é necessária
- Nenhuma investigação de aplicação regulatória resulta da violação
A violação afeta o fornecedor. Não afeta os dados de seus clientes porque os dados de seus clientes nunca estiveram nos servidores do fornecedor em forma recuperável.
O aumento de 300% nas violações de SaaS muda o cálculo de risco do fornecedor. Organizações que avaliam fornecedores apenas com base na postura de segurança e compromissos contratuais estão confiando que seu fornecedor não aparecerá na próxima estatística de violação. A arquitetura de zero-knowledge elimina essa dependência.
Fontes: