Yüksek Ölçekli Veri İhlali: Salesforce ve Gainsight Durumu
Google, siber suçluların Salesforce’ta saklanan verilerin 200’den fazla şirketten çalındığını doğrulamıştır.
Geçtiğimiz Perşembe günü, Salesforce, “bazı müşterilerin Salesforce verilerinde” bir ihlal olduğunu duyurdu; ancak etkilenen şirketlerin isimlerini açıklamadı. Bu veri, Gainsight adlı müşteri destek platformu üzerinden yayımlanan uygulamalar aracılığıyla çalındı.
İhlalin Arka Planı
Google Tehdit İstihbarat Grubu’ndan Austin Larsen, şirketin “200’den fazla potansiyel olarak etkilenen Salesforce örneğinin farkında olduğunu” belirtti. Salesforce tarafından yapılan bu açıklamanın ardından, siber güvenlik dünyasında tanınan ve biraz gizemli olan Scattered Lapsus$ Hunters adlı hacker grubu, Telegram kanalı üzerinden ihlali üstlendi.
Bu grup, Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters ve Verizon gibi şirketlere yönelik saldırılar gerçekleştirdiklerini duyurdu.
Siber Suçluların Metodu
Google, saldırının kurbanları hakkında özel bir yorum yapmadı. CrowdStrike sözcüsü Kevin Benacci, TechCrunch’a yaptığı açıklamada, şirketin Gainsight sorunundan etkilenmediğini ve tüm müşteri verilerinin güvende olduğunu belirtti. Aynı zamanda, şirketin bir “şüpheli içeriden bir çalışanı” işten çıkardığını da bildirdi.
TechCrunch, Scattered Lapsus$ Hunters’ın ismini duyurduğu tüm şirketlerle iletişime geçti. Verizon, e-posta aracılığıyla bu iletişimi aldıklarını doğruladı. Malwarebytes sözcüsü Ashley Stewart, şirketin güvenlik ekibinin Gainsight ve Salesforce sorunlarından haberdar olduğunu ve conunun “aktif şekilde araştırıldığını” bildirdi.
Hackleme Yöntemleri ve Önlemler
ShinyHunters grubundaki hackerlar, daha önce Salesloft’un müşterilerini hedef alan bir kampanya sayesinde Gainsight’a erişim sağladıklarını iddia ettiler. Bu önceki kampanyada, hackerlar Drift kimlik doğrulama belirteçlerini çalmış, bu da onların bağlı Salesforce örneklerine girmelerine olanak tanımıştır.
Gainsight, bu hackleme kampanyasının mağdurları arasında yer aldığını daha önce doğrulamıştı. Gainsight, “Salesloft’un Drift’inin bir müşterisiydi ve bu nedenle tamamen bizim tarafımızdan ihlal edildi,” şeklinde bir açıklama yaptı.
Salesforce’un sözcüsü Nicole Aranda, TechCrunch’a yaptığı açıklamada, “Salesforce’un politikası gereği, belirli müşteri sorunlarıyla ilgili yorum yapmadığını” belirtti. Gainsight ise TechCrunch’ın yorum taleplerine yanıt vermedi.
Gainsight ve Salesforce’un Yanıtı
Perşembe günü Salesforce, “Bu sorunun Salesforce platformunda herhangi bir güvenlik açığından kaynaklandığına dair bir belirti yok,” diyerek müşteri veri ihlallerinden kendini uzaklaştırdı.
Gainsight, olayla ilgili güncellemeler yayınlıyor ve Cuma günü, Google’ın olay müdahale birimi Mandiant ile işbirliği yaptığını belirtti. Bu durum, “uygun bir analiz için devam eden bağımsız bir inceleme” çerçevesinde araştırılmaktadır.
Gainsight’ın olay sayfasına göre, Salesforce, Gainsight ile bağlantılı uygulamalara olan aktif erişim belirteçlerini, olağan dışı etkinlik araştırmaları devam ederken, geçici olarak iptal etmiştir. Ayrıca, etkilenen müşterilere veri çalındığı konusunda bildirim yapılmaktadır.
Saldırgan Grubun Gelecek Planları
Scattered Lapsus$ Hunters, Telegram kanallarında, son kampanyalarının kurbanlarını zorlamak için gelecek hafta özel bir web sitesi başlatmayı planladıklarını duyurdu. Bu grup, son zamanlarda birçok yüksek profilli kurbanı hedef aldı; MGM Resorts, Coinbase ve DoorDash gibi şirketler bunlardan sadece birkaçıdır.
Sonuç olarak, bu olay, büyük ölçekli veri ihlalleri ve siber güvenlik önlemleri konusunda önemli bir hatırlatmadır. Şirketlerin verilerini korumak için alması gereken önlemler ve bireylerin bunu desteklemek amacıyla bilinçlenmesi elzemdir.
