Salesloft ve Drift Token Hırsızlığı
Son günlerde, satış otomasyon platformu Salesloft‘un, Drift sohbet ajanı entegrasyonu üzerinden OAuth ve refresh tokenlarının çalınmasıyla sarsıcı bir veri ihlali yaşandı. Saldırganların, bu tokenları kullanarak Salesforce ortamlarına geçiş yaparak veri sızdırdığı bildirilmektedir. ShinyHunters isimli fidye grubunun bu saldırıların sorumluluğunu üstlendiği ifade edilmektedir.
Salesloft’un SalesDrift entegrasyonu, Drift AI sohbet ajanını Salesforce ile bağlayarak işletmelere konuşmaları, potansiyel müşteri bilgilerini ve destek taleplerini CRM sistemlerine senkronize etme olanağı sunmaktadır. Ancak, saldırganların Drift için kullanılan OAuth ve refresh tokenlarını çalması, kullanıcı verilerinin tehlikeye girmesine yol açmıştır.
Veri İhlali Detayları
Saldırganlar, 2025 yılının 8-18 Ağustos tarihlerinde Salesforce veri hırsızlığı kampanyası yürüttü. Salesloft‘un yaptığı açıklamada, saldırganların öncelikle AWS erişim anahtarları, şifreler ve Snowflake ile ilgili erişim tokenlarına odaklandığı belirtilmiştir. Şirket, Drift-Salesforce entegrasyonunu kullanmayan müşterilerinin etkilenmediğini vurguladı.
Salesloft’un, saldırıdan sonra tüm Drift uygulaması için aktif erişim ve refresh tokenlarını iptal ettiği bildirilmektedir. Bu işlem sonucunda, müşterilerin Salesforce ile yeniden kimlik doğrulaması yapmaları gerekmektedir. Yeniden doğrulama süreci için yöneticilerin, Ayarlar > Entegrasyonlar > Salesforce menüsüne giderek entegrasyonu kapatmaları ve geçerli Salesforce kimlik bilgileriyle yeniden bağlanmaları gerekmektedir.
Tehdit Aktörlerinin Takibi
Google’ın Tehdit İstihbarat ekibi olan Mandiant, saldırganları UNC6395 olarak takip etmektedir. Bu grubun, Salesforce ortamına erişim sağladıktan sonra SOQL sorguları gerçekleştirerek, destek taleplerinden kimlik doğrulama tokenları, şifreler ve gizli bilgileri topladığı belirtilmektedir. Google‘ın raporuna göre, UNC6395, Amazon Web Services (AWS) erişim anahtarları ve diğer hassas bilgileri hedef alarak büyük bir tehdit oluşturmaktadır.
Saldırganların, izlerini gizlemek için Tor ve AWS gibi barındırma sağlayıcılarını kullandığı ifade edilmektedir. Elde edilen verileri çalmak için kullanılan User-Agent dizeleri arasında ‘python-requests/2.32.4’, ‘Python/3.11 aiohttp/3.12.15’ gibi ifadeler bulunmaktadır. Google, sistem yöneticilerinin bu IP adresleri ve kullanıcı ajanlarını inceleyerek saldırıya maruz kalıp kalmadıklarını belirlemelerine yardımcı olacak bir liste sunmuştur.
Şirketlere Tavsiyeler
Veri ihlalinden etkilenen çevrelerdeki yöneticilerin, kimlik bilgilerini değiştirmeleri ve Salesforce nesnelerinde ek gizli bilgilerin çalınıp çalınmadığını kontrol etmeleri önerilmektedir. Bu bilgiler arasında şunlar bulunmaktadır:
- AKIA: Uzun vadeli AWS erişim anahtarı tanımlayıcıları
- Snowflake veya snowflakecomputing.com: Snowflake kimlik bilgileri
- Şifre, gizli anahtar veya anahtar: Potansiyel kimlik materyaline dair referanslar
- Organizasyona özgü giriş URL’leriyle ilgili dizeler: VPN veya SSO giriş sayfaları gibi
Google, bu faaliyetleri UNC6395 adı altında izlemeye almışsa da, ShinyHunters grubunun bu eylemden sorumlu olduğunu ve önemli bir veri ihlali gerçekleştirdiğini bildirmektedir.
Süregelen Salesforce Saldırıları
Salesloft tokenlarının çalınması, ShinyHunters grubu ile bağlantılı olarak gerçekleşen daha geniş bir Salesforce veri ihlalleri dalgasının parçasıdır. ShinyHunters, sosyal mühendislik saldırılarıyla Salesforce ortamlarını ele geçirerek veri indirdiklerini ve ardından şirketleri bu verileri kullanarak fidye talepleriyle tehdit ettiklerini belirtmektedir.
Bu saldırılarda, saldırganlar, sesli kimlik avı (vishing) yöntemiyle çalışanları, kötü amaçlı bir OAuth uygulamasını şirketlerinin Salesforce ortamlarına bağlamaya ikna etmektedir. Bağlantı sağlandıktan sonra, veritabanlarını indirerek bu bilgileri elde etmekte ve fidye talep etmektedirler.
Geçtiğimiz yıl içerisinde Google, Cisco, Farmers Insurance, Workday, Adidas, Qantas, Allianz Life ve LVMH bünyesindeki markalar (Louis Vuitton, Dior, Tiffany & Co.) dahil olmak üzere birçok veri ihlali, bu sosyal mühendislik saldırılarıyla ilişkilendirilmiştir.
Bu saldırılar, sadece fidye talepleriyle sınırlı kalmayıp, çalınan verilerin kullanılarak, alt müşterilerin bulut hizmetleri ve altyapılarına da erişim amaçlı genişletilmiştir. Özellikle Salesforce gibi teknoloji devlerinin hedef alındığı bu saldırılar, şirketleri ciddi tehditlerle karşı karşıya bırakmaktadır.
