GitHub Hesabıyla Başlayan Saldırı
Salesloft, yetenekli bir satış etkileşim platformu olarak bilinen bir uygulama ve Drift, buna bağlı bir konuşma pazarlama aracı olma özelliğini taşımaktadır. Ancak, 2025 yılının Mart ayında başlayıp devam eden bir siber saldırı dizisi, bu uygulamalara ciddi zararlar vermiştir. Saldırganlar, önce Salesloft’un GitHub hesabına erişim sağlamış ve burada yer alan OAuth jetonlarını çalmayı başarmıştır. Bu jetonlar daha sonra, Salesforce veri hırsızlığı saldırılarına fırsat tanımıştır.
Saldırının detayları, August ayının sonlarına doğru Google’ın Tehdit İstihbarat Grubu tarafından UNC6395 olarak adlandırılan bir grup siber suçluya atfedilmiştir. Bununla birlikte, BleepingComputer’a göre, ShinyHunters fidye çetesi ve Scattered Spider olarak kendini tanıtan tehdit aktörleri de Salesloft ve Drift saldırılarında rol oynamıştır.
Drift Uygulamasındaki Güvenlik Açığı
Salesloft, Drift uygulamasındaki güvenlik sorununu 21 Ağustos’ta gündeme getirmiş ve takip eden günlerde OAuth jetonlarının kötüye kullanılmasıyla ilgili daha fazla bilgi paylaşmıştır. Bu durum, Salesloft’un müşterileri üzerinde geniş kapsamlı Salesforce veri hırsızlığı saldırılarına neden olmuştur. Google, Zscaler, Cloudflare, ve daha birçok önde gelen şirket, bu saldırılardan etkilenmiştir.
Saldırganların ana hedefi, Salesforce örneklerinde destek vakalarını çalmak olmuştur. Toplanan bu bilgiler, kullanıcı adı ve şifre gibi hassas verilerin yanı sıra destek biletlerinde yer alan diğer özel bilgilerin toplanmasını sağlamıştır. Salesloft, 26 Ağustos’ta yaptığı bir güncellemeyle, tehdit aktörlerinin ana amacının kredileri çalmak olduğunu belirtmiştir.
Mandiant’ın İncelemesi ve İlk Erişim
Olayın araştırılmasında Mandiant firması da Salesloft’a destek vermektedir. Mandiant’ın bulgularına göre, tehdit aktörleri ilk olarak gitHub ortamına erişimi Mart ile Haziran 2025 arasında sağladı.
Saldırganlar, birçok GitHub deposundan kod indirip, misafir kullanıcı hesapları eklemiş ve sahte iş akışları oluşturmuşlardır. Ayrıca, Drift’in AWS ortamına erişerek çok daha kritik verilere ulaşım sağlamışlardır. Elde ettikleri OAuth jetonları, Salesforce ve Google Workspace gibi teknolojik entegrasyonlar aracılığıyla müşteri verilerine erişim sağlamıştır.
Salesloft’un Önlemleri
Salesloft, durumdan haberdar olduktan sonra, kimlik bilgilerini döndürmüştür ve güvenliği artırmak için çeşitli önlemler almıştır. Drift’in altyapısı izole edilmiş ve bu sistemdeki bilgilerin kimlik bilgileri de değiştirilmiştir. Mandiant ile ortaklaşa yapılan araştırmalar, tehdit avı çalışmaları sonucunda başka bir güvenlik açığı kalmadığını tespit etmiştir.
Mandiant, durumu kontrol altına alındığını ve segmentasyonun doğrulandığını ifade etmiştir. Artık forensik kalite güvencesi gözden geçirilmeye başlanmıştır.
Salesloft ve Salesforce Entegrasyonu Yeniden Başladı
Olayların ardından, Salesloft’un Salesforce ile olan entegrasyonu, dikkatli bir şekilde askıya alınmıştı fakat daha sonra tekrar aktif hale getirilmiştir. Bugünden itibaren Salesforce kullanıcıları, Salesloft entegrasyonlarına yeniden erişim sağlayabilmektedir. Şirket, veri senkronizasyonu yapması gereken müşterileri için adım adım rehberlik sunmaktadır.
Veri güvenliği ve koruma, günümüz dijital dünyasında her zamankinden daha önemli bir hale gelmiştir. Özellikle büyük şirketlerin hedef alınması, tehlikenin boyutunu gösterirken, kullanıcılar ve şirketler için bu tür olaylar karşısında alacakları önlemler de oldukça kritik bir hal almıştır. Saldırıların artması, sadece daha iyi güvenlik önlemleri almak için değil, aynı zamanda kullanıcıların ve şirketlerin savaşbaşı olarak gördüğü bu yeni ortamda hayatta kalması için de büyük bir uyarıdır.
Son olarak, siber güvenlik alanında dikkatli olmak ve sürekli olarak kendini güncellemek, yalnızca şirketlerin değil, bireylerin de sorumlu olduğu önemli bir durumdur. Bu bağlamda, güçlü şifre kullanımı ve iki faktörlü kimlik doğrulama gibi önlemler almak, olası tehditlere karşı korunma yolları arasında yer almalıdır. Bu tüm tehditler karşısında verilerin güvenliğini sağlamak artık daha fazla önem taşımaktadır.
