# AN1427 — Analytic 1427 ## Descrição Detecta acesso programático a conteúdo de usuários via tokens de acesso roubados em plataformas como Slack, GitHub ou Google Workspace, especialmente quando originado de novos endereços IP, aplicações não autorizadas ou com padrão de acesso massivo a recursos. A telemetria baseia-se em logs de acesso de API das plataformas SaaS que registram autenticação por token, volume de requisições e metadados de localização e user agent dos clientes. Essa detecção é relevante para identificar campanhas de acesso a dados corporativos via tokens roubados em vazamentos de credenciais ou ataques de supply chain em ambientes de desenvolvimento, onde tokens GitHub e Slack frequentemente possuem acesso a propriedade intelectual sensível. **Plataformas:** SaaS ## Técnicas Relacionadas - [[t1550-001-application-access-token|T1550.001 — Application Access Token]] - [[t1528-steal-application-access-token|T1528 — Steal Application Access Token]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1213-002-sharepoint|T1213.002 — Sharepoint]] --- *Fonte: [MITRE ATT&CK — AN1427](https://attack.mitre.org/detectionstrategies/DET0515#AN1427)*