Google’dan Yeni Uyarı: Salesloft Drift İhlali Daha Büyük
Son günlerde Google, Salesloft Drift ihlalinin daha önce düşünülenden çok daha büyük olduğunu açıkladı. İlk olarak 28 Ağustos’ta duyurulan bu duruma göre, saldırganların çaldığı OAuth tokenları, bir dizi Google Workspace email hesabına da erişim sağladı. Böylece, yalnızca Salesforce veri tabanına değil, diğer sisteme bağlı entegrasyonlara da sızıldı.
Olayın Boyutu
Google Threat Intelligence (Mandiant) tarafından takip edilen bu kampanya, UNC6395 kod adıyla anılıyor. Saldırganlar, Salesloft’un Drift AI sohbet entegrasyonu için OAuth tokenlarını çaldı. Bu yasadışı erişim sayesinde, saldırganlar Salesforce müşteri hesaplarına ulaştı ve Cases, Accounts, Users ve Opportunities tabloları üzerinde sorgular gerçekleştirdi.
Bu veriler, saldırganların müşteri destek biletleri ve mesajları üzerinde hassas bilgileri taramasına olanak sağladı. Özellikle, AWS erişim anahtarları, Snowflake tokenları ve şifreler gibi değerli veriler çalındı. Bu tür bilgiler, potansiyel bir deneyim için diğer bulut hesaplarına erişim sağlamak amacıyla kullanılmak üzere hedef alınmış olabilir.
Yeni Gelişmeler ve Uyarılar
Bugün yapılan güncellemelerle, ihlalin başlangıçta tahmin edilenden daha büyük olduğu açıklandı. Araştırmalar, Drift Email entegrasyonu için de OAuth tokenlarının tehlikeye atıldığını gösterdi. Saldırganlar, 9 Ağustos tarihinde bu tokenları kullanarak, “çok küçük bir” Google Workspace hesabının emailine erişim sağladı. Google, bu durumda etkilenen alanların diğer hesaplarının ise zarar görmediğini vurguladı.
Google Workspace ve Alphabet için herhangi bir ihlal kaydedilmedi. Çalınan tokenlar iptal edildi ve gerekli bilgilendirmeler yapıldı. Ayrıca, Google, Salesloft Drift Email ile Google Workspace arasındaki entegrasyonu devre dışı bıraktı ve ihlal üzerine detaylı bir araştırma başlattı.
Öneriler ve Önlemler
Google, Drift kullanan tüm organizasyonları, platformda bulunan ya da ona bağlı olan her bir kimlik doğrulama tokenını tehlikeye girmiş olarak değerlendirmeye çağırıyor. Bu durum, müşterilerin bağlantılı sistemlerini gözden geçirmesi, yetkisiz erişim belirtileri araması ve kimlik bilgilerini yeniden belirlemesini gerektiriyor.
Ayrıca, Google, Drift örnekleri ile ilişkili olan üçüncü taraf entegrasyonlarını gözden geçirmeyi, açıkta kalan bilgileri aramayı ve eğer bir ihlal varsa, şifreleri sıfırlamayı öneriyor.
Salesloft’un Tepkisi
Salesloft, 28 Ağustos’ta yaptığı duyuruda, Salesforce’un Drift entegrasyonunu, Slack ve Pardot ile birlikte iptal ettiğini açıkladı. Bu süreçte Mandiant ve Coalition gibi uzman kuruluşlardan yardım almak için harekete geçti. Bu durum, kullanıcıların güvenliğini korumak adına atılan kritik adımlardan yalnızca biriydi.
Parola Güvenliği Durumu
Yapılan araştırmalara göre, güvenlik ihlalleri ve parolaların çalınması, çevrelerin %46’sında gerçekleşmiş durumda. Bu oran, geçen yıla kıyasla %25’ten %46’ya çıkarak neredeyse iki katına yükselmiş durumda. Bu tür verilerin artışı, güvenlik sistemlerinin yetersizliğini ortaya koyarken, kullanıcıların parolalarını daha güçlü ve karmaşık tutmaları gerektiğini bir kez daha gözler önüne seriyor.
Sonuç Olarak
Salesloft Drift ihlali, siber güvenlik alanında önemli bir tehdit oluşturmakta ve birçok kurum için alarm zillerini çalmaktadır. Google’ın uyarıları, tüm kullanıcıların bu tür durumlar karşısında daha dikkatli ve tedbirli olmalarını gerektiriyor. Gelecekte yaşanabilecek benzer olayların önlenmesi adına güvenlik protokollerinin sıkılaştırılması, parolaların düzenli olarak değiştirilmesi ve üçüncü taraf entegrasyonların dikkatle izlenmesi kritik önem taşımaktadır.
