Veri İhlalleri ve ŞinyHunters Tehdidi
Son dönemde, Qantas, Allianz Life, LVMH ve Adidas gibi pek çok büyük şirketi etkileyen veri ihlalleri, ShinyHunters isimli bir zorbalık grubuyla ilişkilendirilmektedir. Bu grup, Salesforce CRM sistemlerinden veri çalmak için sesli oltalama (vishing) saldırılarını kullanmaktadır.
Haziran ayında, Google’ın Tehdit İstihbarat Grubu (GTIG), UNC6040 olarak takip edilen tehdit aktörlerinin, Salesforce müşterilerini hedef alarak sosyal mühendislik saldırıları düzenlediklerini bildirmiştir. Bu saldırılarda, tehdit aktörleri, hedeflenen çalışanları IT destek personeli olarak taklit edip, onları Salesforce’un bağlı uygulama ayarları sayfasına yönlendirmeye çalışmaktadır. Burada, çalışanlardan bir “bağlantı kodu” girmeleri istenmekte ve bu kod, tehdit aktörlerinin kötü amaçlı bir Salesforce uygulamasıyla ilgili verilerin bağlanmasını sağlamaktadır.
Vishing ve Verilerin Çalınması
Bu tür saldırılar genellikle sesli oltalama yöntemiyle gerçekleştirilmekle birlikte, bazı durumlarda kimlik bilgileri ve çok faktörlü kimlik doğrulama token’ları (MFA) da sahte Okta giriş sayfaları aracılığıyla çalınmıştır. Raporda belirtilene göre, birçok şirket, üçüncü taraf müşteri hizmetleri veya bulut tabanlı CRM sistemlerinden veri ihlalleri yaşadıklarını bildirmiştir.
Özellikle LVMH‘nin yan kuruluşları olan Louis Vuitton, Dior ve Tiffany & Co., müşteri bilgilerine izinsiz erişim sağlandığını duyurmuştur. Tiffany Korea, müşterilerine veri yönetimi için kullanılan bir “tedarikçi platformu” üzerindeki ihlali bildirmiştir. Adidas, Qantas ve Allianz Life da üçüncü taraf sistemlerle ilgili ihlaller bildirmiştir.
Allianz Life için yapılan açıklamada, “16 Temmuz 2025’te, kötü niyetli bir tehdit aktörü Allianz Life Insurance Company of North America tarafından kullanılan üçüncü taraf bir bulut CRM sistemine erişim sağlamıştır,” denilmiştir.
Saldırıları Yürütenlerin Ardındaki Güç
Bu saldırılar, siber güvenlik topluluğunda karışıklığa yol açmakta ve BleepingComputer dahil olmak üzere çeşitli medya kuruluşlarına atıfta bulunmaktadır. Scattered Spider (Mandiant tarafından UNC3944 olarak izlenmektedir) ile bağlantılı tehdit aktörleri de o dönemde havacılık, perakende ve sigorta sektörlerini hedef alıyordu ve benzer taktikler sergiliyordu. Ancak, ShinyHunters daha çok veri hırsızlığı extorsiyonuna odaklanmaktadır. İki grubun, aynı çevrimiçi topluluklarda iletişim kuran çakışan üyelerden oluştuğu düşünülmektedir.
Recorded Future istihbaratına göre, ShinyHunters ve Scattered Spider saldırıları arasındaki bazı benzerlikler, bu gruplar arasında bir bağ olabileceğini göstermektedir. Bazı araştırmacılar, iki grubun aynı anda benzer sektörleri hedef alarak saldırı düzenlediğini ve bu durumun saldırıların niteliklerini belirlemeyi zorlaştırdığını belirtmektedir.
Uzman Görüşleri
BleepingComputer ile daha önce yapılan konuşmalarda, ShinyHunters‘ın bir ihlalin arkasında olmadığını, çalınan verilerin satıcısı olarak hareket ettiğini iddia ettiğine dair görüşler de bulunmaktadır. Bahsi geçen ihlaller arasında, PowerSchool, Oracle Cloud, Snowflake veri hırsızlığı saldırıları, AT&T, NitroPDF, Wattpad, MathWay gibi birçok şirket bulunmaktadır.
Ancak ShinyHunters ile bağlantılı birçok kişi tutuklanmış olmasına rağmen, saldırılar devam etmekte ve şirketler birer birer, “Biz ShinyHunters’ız” başlıklı tehdit e-postaları almaktadır.
Salesforce Güvenlik Önlemleri
BleepingComputer’a verdiği beyanatta Salesforce, platformun kendisinin ihlal edilmediğini, mümkünün hakimi olan müşterilerin hesaplarının sosyal mühendislik yoluyla saldırıya uğradığını vurgulamıştır. Şirket, “Salesforce, her yaptığımızda kurumsal seviyesi güvenlik inşa etmektedir; ancak müşteriler de verilerinin güvenliğini sağlamakta kritik bir rol oynamaktadır,” demiştir.
Salesforce, güvenlik duruşunu güçlendirmek için müşterilerine şu önlemleri almalarını önermektedir:
- Güvenilir IP aralıklarını zorunlu kılma
- Uygulama izinlerinde en az ayrıcalık prensibini izleme
- Çok faktörlü kimlik doğrulamasını (MFA) etkinleştirme
- Bağlı uygulamaların kullanımını kısıtlama ve erişim politikalarını yönetme
- İleri düzey tehdit tespiti, olay izleme ve işlem politikaları için Salesforce Shield kullanma
- Olay iletişimi için belirlenen bir Güvenlik İletişim Kişisi belirleme
Bu önlemler hakkında daha fazla bilgi, Salesforce’un rehberinde bulunmaktadır. Kuruluşlar, bu ihlalleri önlemek ve müşteri verilerini korumak için proaktif bir yaklaşım benimsemek durumundadır.
