ShinyHunters’ın Verileri Çalma Yöntemleri
ShinyHunters olarak bilinen fidye yazılımcıları grubu, Salesforce sistemlerinden 1.5 milyar kadar veri kaydını çalmayı başardıklarını iddia ediyor. 760 şirketten alınan verilerin, Salesloft ve Drift uygulamaları üzerinden sağlanan OAuth tokenlerinin kötüye kullanılmasıyla elde edildiği öne sürülüyor. Bu gelişme, son bir yıl içinde meydana gelen birçok veri hırsızlığı saldırısının en büyüğü olarak dikkat çekiyor.
Veri Hırsızlığının Yöntemleri
Tehdit aktörleri, sosyal mühendislik ve zararlı OAuth uygulamaları kullanarak Salesforce kullanıcılarını hedef alıyor. Saldırılar sonrasında elde edilen bu veriler, şirketlerden fidye talep etmek amacıyla kullanılıyor. Şirketler, verilerin halka açık hale gelmesini önlemek için zor durumda kalıyorlar.
ShinyHunters, Scattered Spider ve Lapsus$ adlı başka fidye yazılımcı gruplarıyla işbirliği yaparak yeni bir oluşum kurdular; bu oluşum kendilerine “Scattered Lapsus$ Hunters” adını verdiler. Google, bu saldırıların izini UNC6040 ve UNC6395 kodlarıyla takip ediyor.
Salesloft’taki Güvenlik Açığı
Mart ayında, tehdit aktörlerinin Salesloft‘un GitHub deposunu ihlal etmesi, şirketin özel kaynak kodunun ele geçirilmesine neden oldu. ShinyHunters, TruffleHog gibi güvenlik araçları kullanarak kaynak kodundaki gizli bilgilere ulaşmayı başardılar. Bu tarama, Salesloft Drift ve Drift Email platformları için OAuth tokenlerini bulmalarına olanak tanıdı.
Salesloft Drift, Drift AI sohbet ajanıyla Salesforce sistemleri arasında bağlantı sağlayan üçüncü taraf bir platformdur. Bu platform sayesinde şirketler, konuşmaları, potansiyel müşteri bilgilerini ve destek taleplerini CRM sistemlerine entegre edebiliyor. Drift Email ise e-posta yanıtlarını yönetmek için kullanılıyor.
Çalınan Veri Miktarı ve Türleri
ShinyHunters, çalınan verilerin büyük bölümünü Salesforce‘un “Account” (Hesap), “Contact” (İletişim), “Case” (Durum), “Opportunity” (Fırsat) ve “User” (Kullanıcı) objeleri üzerinden ele geçirdi. Bu kısımlarda:
- Hesap: 250 milyon kayıt
- İletişim: 579 milyon kayıt
- Fırsat: 171 milyon kayıt
- Kullanıcı: 60 milyon kayıt
- Durum: 459 milyon kayıt
Şirketlerin müşteri destek taleplerinin saklandığı Durum tablosundaki bilgiler, teknoloji firmaları için hassas veriler içerebiliyor.
Gizlilik Riskleri ve Diğer Kurbanlar
Google Threat Intelligence (Mandiant), çalınan Durum verilerinin analiz edildiğini ve bu verilerde gizli bilgilerin, kimlik bilgileri ve erişim anahtarlarının arandığını belirtti. Bu durum, saldırganların kurbanların başka sistemlerine geçiş yapabilmesi için kritik bir adım olarak değerlendiriliyor.
Sızdırılan Drift ve Drift Email tokenleri, birçok büyük şirkete yönelik geniş çaplı veri hırsızlığı kampanyalarında kullanıldı. Google, Cloudflare, CyberArk, ve Palo Alto Networks gibi firmalar da bu saldırılardan etkilendi.
FBI’ın Duyurusu ve Google’ın Açıklaması
FBI, saldırganlar hakkında bir uyarı yayınlayarak, UNC6040 ve UNC6395 kodlarıyla tanımlanan tehdit aktörlerine dikkat çekti. Geçtiğimiz hafta, Scattered Spider grubu, Telegram üzerindeki operasyonlarını sona erdireceklerini duyurdu. Bu bağlamda, Google‘ın yasalarla ilgili talep sistemini ihlal ettiklerini iddia ettiler. Google, bu iddiaları doğruladı ve sahte bir hesabın oluşturulduğunu açıkladı. Ancak, bu hesabın kullanılarak herhangi bir veri erişimi sağlanmadığını da ekledi.
Gelecek Tehditler ve Önleme Stratejileri
Araştırmacılar, bu tehdit gruplarının 2025 yılının Temmuz ayından itibaren finansal kurumları hedef almaya başladıklarını ve saldırılarına devam edeceklerini bildirdiler. Salesforce, müşterilerine çok faktörlü kimlik doğrulama (MFA) gibi güvenlik önlemleri almalarını, erişim yetkilerini gözden geçirmelerini ve bağlı uygulamaları dikkatlice yönetmelerini öneriyor.
Veri hırsızlığı tehdidi gittikçe artarken, şirketlerin bu tür saldırılara karşı önlem almaları her zamankinden daha önemli hale gelmiştir.
