Son dönemde yaşanan veri ihlalleri, özellikle Salesforce kullanıcılarını endişelendiren bir durum haline geldi. Google, Salesloft Drift platformuna yönelik saldırıların kapsamının düşünüldüğünden çok daha geniş olduğunu belirtti. Şirket, “Drift platformuyla bağlantılı tüm kimlik doğrulama tokenlerinin potansiyel olarak tehlikeye girmiş olabileceği” konusunda müşterilerini uyardı. Bu tür ihlaller, organizasyonların bilgi güvenliği protokollerini sorgulamalarına yol açtı.

OAuth Tokenlarının Çalınması

Google Threat Intelligence Group (GTIG) ve Mandiant, saldırganların OAuth tokenlarını çalarak, belirli bazı Google Workspace e-posta hesaplarına erişim sağladığını teyit etti. 9 Ağustos 2025’te gerçekleşen bu olay, “Drift Email” entegrasyonunun güvenliğinin ihlal edilmesinden kaynaklandı. Ancak, bu durumun Google Workspace veya Alphabet’in tamamı için bir ihlal olmadığı belirtildi. Saldırganların sadece Salesloft ile entegrasyona sahip hesapları hedef aldığı ifade edildi.

Bu tür durumlar, küçük işletmelerden büyük kurumsal firmalara kadar geniş bir yelpazede endişeye yol açtı. Birçok organizasyon, oAuth tabanlı sistemlerini yeniden değerlendirmek zorunda kaldı.

Google’ın Önlemleri

Olayın keşfi sonrasında Google, etkilenen kullanıcıları bilgilendirdi, çalınan OAuth tokenlarını iptal etti ve Google Workspace ile Salesloft Drift arasındaki entegrasyon işlevselliğini devre dışı bıraktı. Şirket, kullanıcıların bağlantılı sistemlerini gözden geçirmelerini ve yetkilendirilmiş erişimlerin gözden geçirilmesini önerdi. Tüm bunlar, yetkisiz erişim belirtilerinin araştırılması amacıyla yapıldı.

Talepler kapsamında, Salesloft Drift kullanıcılarının, üçüncü taraf uygulamalarla olan entegrasyonlarını yeniden kontrol etmeleri ve bu uygulamalara ait kimlik bilgilerini güncellemeleri için bir çağrı yapıldı. Bu tür önlemler, tüzel kişilerin bilgi güvenliği açığını azaltmalarına katkı sağlıyor.

Yeni Tehdit Aktörleri ve Durum Analizi

Google, saldırıların daha geniş bir veri hırsızlığı kampanyasıyla bağlantılı olduğuna dikkat çekti. Bu kampanyanın adı, UNC6395 olarak belirtildi ve saldırganların, Salesloft Drift ile ilişkili OAuth tokenlarını kullanarak Salesforce sistemlerine yönelik hedef aldıkları ifade edildi. Bu aktivitelerin 8-18 Ağustos 2025 tarihleri arasında gerçekleştiği kaydedildi.

Bu olay, bilgi güvenliği uzmanlarını tekrar uyarırken, birçok firmanın kendi veri güvenliği politikalarını ve süreçlerini gözden geçirmeye zorlanmasına neden oldu. Bu tür tehditler, teknoloji dünyasının kaçınılmaz bir parçası haline gelirken, şirketlerin veri yönetiminde daha dikkatli olmaları gerektiğini de ortaya koyuyor.

Salesloft ve Salesforce İş Birliği

Salesloft, olayı takip eden süreçte, Salesforce ve diğer entegrasyonlarıyla olan bağlantılarını geçici olarak kapattıklarını açıkladı. Ancak, üç saat sonra yapılan bir açıklamada, Salesforce’un, tüm Salesloft entegrasyonlarını geçici olarak devre dışı bıraktığı belirtildi.

Salesloft’ten yapılan açıklama, şu an itibarıyla Salesloft entegrasyonları ile ilgili herhangi bir kötü niyetli aktivite tespit edilmediğini vurguladı. Ayrıca, mevcut durumda Salesloft entegrasyonlarının tehlikeye girmediği ya da risk altında olmadığı ifade edildi.

Veri Güvenliği ve Gelecek Önlemleri

Saldırılar, şirketlerin veri güvenliği konusunda daha fazla önlem almasını gerektiriyor. Kurumsal tehditler, sadece teknik açıdan değil, organizasyonel yapılar üzerinde de derin etkiler bırakabilir. Firmaların, güvenlik politikalarını sıkılaştırmaları ve yeni teknolojik çözümlerle desteklemeleri şart. Yazılımların en güncel versiyonlarının kullanılması, düzenli olarak güvenlik taramaları yapılması, ve çalışanların bu konuda eğitilmesi kaçınılmaz hale geliyor.

Sonuç olarak, yaşanan bu veri ihlalleri, sadece bir kriz anı değil, aynı zamanda daha sağlam bir bilgi güvenliği yapısının inşası için bir fırsat olarak görülmelidir. Şirketlerin, gelişen tehditlerin farkında olarak stratejilerini güncellemeleri, uzun vadede daha güvenli bir iş ortamı sağlamalarına olanak tanıyacaktır.

Güncel Siber Güvenlik Haberleri – 1