Salesloft Veri İhlali
Büyük çaplı bir siber saldırı, Salesloft'un Drift AI sohbet aracısıyla entegrasyonunu tehlikeye atarak, bilgisayar korsanlarının OAuth'u çalmasına ve belirteçleri yenilemesine olanak sağladı. UNC6395 olarak izlenen tehdit aktörü, çalınan bu belirteçleri kullanarak Salesforce müşteri ortamlarına sızdı. Güvenlik uzmanları, 700'den fazla kuruluşun potansiyel olarak etkilendiğini tespit etti.
İçindekiler
İhlalin Zaman Çizelgesi
Araştırmalar, kötü amaçlı faaliyetin 8 Ağustos ile 18 Ağustos 2025 tarihleri arasında gerçekleştiğini ortaya koyuyor. Bu süre zarfında saldırganlar, Salesforce örneklerine sızmak için Drift'e bağlı, ele geçirilmiş OAuth belirteçlerini kullandılar. İçeri girdikten sonra, aşağıdakiler gibi hassas kimlik bilgilerini toplamayı hedefleyerek büyük miktarda kurumsal veriyi dışa aktardılar:
- Amazon Web Services (AWS) erişim anahtarları
- Şifreler
- Kar tanesiyle ilgili tokenlar
Saldırı Yöntemleri ve Ticaret Becerileri
Bu kampanyayı öne çıkaran şey, UNC6395'in metodik hassasiyetidir. Tek seferlik bir saldırı gerçekleştirmediler, bunun yerine yüzlerce Salesforce kiracısına yapılandırılmış ve tekrarlanan saldırılar başlattılar. Başlıca gözlemler şunlardır:
Disiplinli uygulama – Kimlik bilgilerini belirlemek ve çıkarmak için sistematik olarak sorgular çalıştırıldı.
Operasyonel farkındalık – Saldırganlar, faaliyetlerinin izlerini gizlemek için sorgu işlerini sildi.
Hedef seçimi – İhlal edilen kuruluşların çoğu teknoloji ve güvenlik sağlayıcılarıydı; bu da bunun bir tedarik zinciri sızma girişimi olabileceğini düşündürüyor.
Grup, satıcıları ve hizmet sağlayıcıları tehlikeye atarak saldırıları müşteri ve ortak ekosistemlerine doğru genişletebilecek bir konuma geldi.
Salesloft ve Salesforce’tan Yanıt
Salesloft, 20 Ağustos 2025'te bir uyarı yayınlayarak ihlali kabul etti ve tüm Drift-Salesforce bağlantılarını iptal ettiğini doğruladı. Salesforce da kendi açıklamasında, yalnızca "az sayıda müşterinin" doğrudan etkilendiğini belirtti. Her iki şirket de olayın ardından derhal harekete geçti:
- Etkin Erişim ve Yenileme Belirteçleri geçersiz kılındı
- AppExchange'den Drift Kaldırıldı
- Saldırıyı kontrol altına almak ve etkisini değerlendirmek için iş birliği yapıldı
Salesloft, olayın Salesforce entegrasyonu olmayan kuruluşları etkilemediğini vurguladı.
Daha Geniş Tehdit Manzarası
Salesforce ortamları, finansal olarak motive olmuş gruplar için giderek daha kazançlı hedefler haline geliyor. UNC6040 ve UNC6240 (ShinyHunters) gibi diğer kümeler, SaaS ortamlarını kullanmalarıyla biliniyor ve hatta UNC6240, ilk erişim kampanyaları için Scattered Spider (UNC3944) ile ortaklık kuruyor.
Şu anda UNC6395'i bu gruplarla ilişkilendiren hiçbir kanıt bulunmamakta ve bu da onu yeni ve belirgin bir tehdit kümesi haline getirmektedir. Ancak, kampanyasının ölçeği, odağı ve karmaşıklığı, onu yüksek riskli rakiplerle aynı lige yerleştirmektedir.
Azaltma ve Sonraki Adımlar
Salesloft, soruşturmaları ve düzeltme çalışmalarını desteklemek için üçüncü taraf güvenlik sağlayıcılarıyla çalıştı. Şirket, yöneticileri entegrasyonları geri yüklemek ve ek güvenlik önlemleri almak için Salesforce bağlantılarını yeniden doğrulamaya çağırıyor.
Temel öneriler şunlardır:
- Mevcut API anahtarlarının iptali ve döndürülmesi
- Drift entegrasyonlarını yeni anahtarlarla yeniden bağlama
- Şüpheli sorgular ve olası veri ifşaları için günlükleri inceleme
- Etkisini belirlemek için daha derin araştırmalar yapmak
API anahtarları aracılığıyla Drift bağlantılarını yöneten kuruluşlar için proaktif anahtar rotasyonu şiddetle tavsiye edilir. Ancak OAuth entegrasyonları halihazırda Salesloft tarafından doğrudan ele alınmaktadır.
Son Çıkarım
Bu kampanya, SaaS ekosistemlerindeki üçüncü taraf entegrasyonlarının artan risklerini vurguluyor. UNC6395, çalınan OAuth token'larını kötüye kullanarak, hedefli, gizli ve tedarik zinciri odaklı operasyonlar yürütme becerisini gösterdi. Etkinlik, bulut tabanlı platformların güçlü olmalarına rağmen, dijital tedarik zinciri genelindeki güven ilişkilerini istismar etmek isteyen tehdit aktörleri için başlıca hedefler olmaya devam ettiğini hatırlatıyor.
