Veri Hırsızlığı ve Salesforce Üzerindeki Etkileri
Son dönemde Salesforce kullanıcılarını hedef alan geniş çaplı bir veri hırsızlığı kampanyası, cyber güvenlik dünyasında kaygılara yol açtı. Özellikle, Salesloft isimli satış otomasyon platformunun Drift yapay zeka (AI) sohbet aracı ile entegre olan OAuth ve yenileme anahtarlarının çalınması, durumu daha da kritik hale getirdi. Bu saldırının, Google Threat Intelligence Group ve Mandiant tarafından izlenen UNC6395 isimli tehdit aktörü tarafından gerçekleştirildiği bildirildi.
Saldırının Boyutu ve Yöntemi
Araştırmalar, saldırganların 8 Ağustos 2025 tarihinden itibaren Salesforce müşteri instance’larını hedef aldığını ortaya koyuyor. Saldırganlar, Salesloft Drift üçüncü taraf uygulamasına bağlı olan OAuth token‘lar aracılığıyla erişim sağladı. Austin Larsen, Matt Lin, Tyler McLellan ve Omar ElAhdan tarafından sağlanan bilgiler, bu saldırılar sonucunda birçok kurumsal Salesforce instance’ından büyük miktarlarda veri aktarıldığını gösteriyor. Hedeflenen veriler arasında Amazon Web Services (AWS) erişim anahtarları, şifreler ve Snowflake ile ilgili erişim token’ları yer almakta.
Operasyonel Güvenlik Bilinci
UNC6395, yaptığı işlemlerde operasyonel güvenlik bilincini göstererek sorgu görevlerini silerek izlerini örtmeye çalıştı. Bunun yanı sıra Google, kurumların ilgili günlükleri gözden geçirmelerini, API anahtarlarını iptal etmelerini ve kimlik bilgilerini yenilemelerini önerdi. Bu adımlar, potansiyel bir veri ihlalinin ne ölçüde gerçekleştiğini anlamak adına büyük önem taşıyor.
Salesloft’un Müdahalesi
Salesloft, 20 Ağustos 2025 tarihinde Drift uygulamasında bir güvenlik sorunu tespit ettiğini duyurarak, Salesforce ile bağlantıyı proaktif bir şekilde iptal etti. Bu olay, Salesforce ile entegre olmayan müşterileri etkilememiştir. Salesloft, “Bir tehdit aktörü, OAuth kimlik bilgilerini kullanarak müşterilerimizin Salesforce instance’larından veri sızdırdı,” diyerek durumu açıklığa kavuşturdu. Bu tür bir ihlal neticesinde, sorgulara bağlı çeşitli Salesforce nesneleri hakkında bilgi almak için sorgular yürütüldü.
Salesforce’un Açıklamaları
Salesforce, durumu değerlendirdikten sonra “küçük bir müşteri grubunun” etkilendiğini belirtti ve sorunun uygulamanın bağlantısının bir ihlalinden kaynaklandığını vurguladı. Ayrıca, Salesloft ile birlikte aktif Erişim ve Yenileme Token’larını iptal ettiklerini ve Drift uygulamasını AppExchange’den kaldırdıklarını eklediler. Bu bildirimin ardından etkilenen müşterilere de en kısa süre içinde bilgi verildi.
Finansal Motivasyonlu Tehdit Grupları
Salesforce instance’ları, son zamanlarda finansal motivasyonlu tehdit gruplarının hedefi haline geldi. UNC6040 ve UNC6240 (ShinyHunters olarak da biliniyor) gibi gruplar, son zamanlarda saldırılarını daha da çeşitlendirdi. Cory Michal, AppOmni’nin CSO’su, UNC6395 saldırılarının ölçeği ve disiplini hakkında dikkat çekici yorumlarda bulundu. “Bu, sıradan bir ihlal değil; belirli ilgi alanı olan yüzlerce Salesforce müşterisi hedef alındı,” diyerek saldırının ciddiyetini ortaya koydu.
Kompleks İlişkiler ve Tedarik Zinciri
Michal ayrıca, birçok hedeflenen kuruluşun kendilerinin güvenlik ve teknoloji şirketleri olduğunu vurgulayarak, bu saldırının daha geniş bir tedarik zinciri saldırı stratejisinin “ilk hamlesi” olabileceğine dikkat çekti. Saldırganlar, önce satıcı ve hizmet sağlayıcıları hedef alarak, daha sonra bu satıcıların downstream müşteri ve ortaklarına geçiş yapabilecekleri bir pozisyona gelmeyi amaçlıyorlar.
Bu tür saldırılar, yalnızca izolasyonlu bir SaaS ihlali olarak kalmayıp, teknoloji tedarik zincirindeki güven ilişkilerini istismar etmeye yönelik potansiyel bir kampanyanın temelini oluşturuyor. Mücadele edilen tehditlerin boyutu ve karmaşıklığı, şirketlerin siber güvenlik stratejilerini gözden geçirmelerine ve önlemler almalarına neden olacak şekilde önemli bir uyarı niteliğindedir.
