Supply Chain Saldırıları ve API Güvenliği: Salesloft’un Veritabanı İhlali
Son zamanlarda teknoloji dünyasını oldukça sarsan supply chain saldırıları, birçok şirket için ciddi tehlikeler barındırmakta. Bunlardan biri olan Salesloft, Drift uygulamasına yönelik bir veri ihlali duyurdu. Olay, Salesloft’un GitHub hesabının ele geçirilmesiyle başladı. Google’ın sahip olduğu güvenlik şirketi Mandiant, bu incelemeyi üstlenerek, saldırganın UNC6395 kod adıyla tanımlandığını belirtti. Saldırganın, 2025 Mart ile Haziran ayları arasında, Salesloft’un GitHub hesabına erişim sağladığı tespit edildi. Bu süreçte, şu ana kadar 22 şirketin bu ihlalden etkilendiği doğrulandı.
Olayın Gelişimi ve Etkileri
Salesloft, saldırganın erişimi sayesinde, birçok depo üzerinden içerik indirip, bir misafir kullanıcı ekleyerek ve iş akışları oluşturarak sistemlerinde önemli değişiklikler yaptığını açıkladı. Dışardan gelen bu tehdit oldukça ciddi bir durum arz ederken, Mandiant’ın yaptığı soruşturma, Mar 2025 ve Haziran 2025 arasında, Salesloft ve Drift uygulama ortamlarında yapılan bazı keşif faaliyetlerini de ortaya çıkardı. Ancak, şu an için bu keşiflerin ötesinde herhangi bir etkinlik olduğuna dair bir kanıt bulunmamakta.
Daha sonraki aşamada, saldırganların Drift’in Amazon Web Services (AWS) ortamına erişerek, Drift müşterilerinin teknoloji entegrasyonları için OAuth token’larını ele geçirdiği belirlendi. Ç stolen OAuth token’lar, Drift entegrasyonları aracılığıyla verilere erişim sağlamak için kullanıldı. Bu durum, birçok şirketin ciddiye alması gereken bir güvenlik açığı olduğu anlamına geliyor.
Salesloft’un Güvenlik Önlemleri
Salesloft, bu durumu göz önünde bulundurarak, Drift’in altyapısını ve uygulamalarını izole etti ve 5 Eylül 2025 tarihinde saat 06:00 ET’den itibaren uygulamayı çevrimdışı hale getirdi. Bu önlemler çerçevesinde, Salesloft ortamındaki kimlik bilgilerini yeniledi ve Salesloft ile Drift uygulamaları arasında daha iyi segmantasyon kontrolleri sağlamak amacıyla ortamı güçlendirdi.
Şirket, ayrıca Drift ile API anahtarı aracılığıyla entegre olan tüm üçüncü parti uygulamaların mevcut anahtarlarını proaktif bir şekilde iptal etmelerini önerdi. Bu durum, diğer şirketlerin de bu gibi saldırılardan kaçınmaları açısından önemli bir adım olarak değerlendirilmektedir.
Salesforce’un Tepkisi
Salesforce, bu olayla ilgili olarak 7 Eylül 2025 itibarıyla Salesloft platformu ile entegrasyonu yeniden etkinleştirdi. Ancak, entegrasyonun geçici olarak durdurulduğu 28 Ağustos tarihinden sonra alınan güvenlik önlemleri ve düzeltme adımlarının sonuçlandırılmasıyla birlikte, Drift uygulamasına dair entegrasyon henüz yeniden etkinleştirilmedi. Salesforce, Drift uygulamasının güvenlik ihlaline yanıt olarak, bu uygulamanın yine devre dışı bırakılacağını açıkladı.
Bu tür olaylar, şirketlerin siber güvenlik konularına ne denli dikkat etmeleri gerektiğini bir kez daha gözler önüne seriyor. Hem büyük hem de küçük işletmeler, bu tür saldırılara karşı önlemleri almadıkları takdirde, ciddi sonuçlarla karşılaşabilirler. Dolayısıyla, güvenlik önlemlerinin artırılması ve güncel tehditlere karşı sürekli bir farkındalık içinde olunması son derece önemlidir.
Sonuç
Sonuç olarak, Salesloft’un yaşadığı bu veri ihlali, siber güvenlik konusunu bir kez daha gündeme getirirken, oluşturduğu etkiyle birçok şirketin dikkatini çekti. Devletlerden bağımsız olarak tüm şirketlerin, siber güvenlik alanında gerekli adımları atması ve potansiyel tehditlere karşı hazırlıklı olması gerekmektedir. Saldırıların karmaşıklığı arttıkça, bu tür saldırılara karşı koruma sağlamak için gereken önlemler de daha kapsamlı hale gelmelidir.
