Zscaler’da Veri İhlali Uyarısı: Müşteri Bilgileri Tehlikede
Zscaler, siber güvenlik alanında tanınan bir şirket olarak, son zamanlarda önemli bir veri ihlali ile karşılaştığını duyurdu. Şirket, kötü niyetli aktörlerin kendi Salesforce hesabına erişim sağladığını ve müşterilerine ait bazı bilgileri çaldığını belirtti. Bu durum, müşterilerinin paylaştığı destek vakalarının içeriklerini de kapsıyor.
Salesloft Drift Entegrasyonu ve İhlalin Kapsamı
Olayın arka planında, Salesloft Drift adlı bir Yapay Zeka sohbet aracının Salesforce ile entegrasyonu yer almakta. Saldırganlar, bu entegrasyon üzerinden OAuth ve yenileme jetonlarını çalarak, müşteri Salesforce ortamlarına erişim sağladı ve hassas verileri dışarı aktardı. Zscaler’in açıklamasında, “Bu kampanya kapsamında, yetkisiz aktörler, Zscaler’in de aralarında olduğu Salesloft Drift kullanıcılarının kimlik bilgilerine erişim sağladı,” ifadelerine yer verildi.
Zscaler, ihlalin detaylarını belirledikten sonra, yalnızca sınırlı erişimin söz konusu olduğunu ve bazı bilgilerinin çalındığını teyit etti. Elde edilen bilgiler arasında şunlar yer aldı:
- İsimler
- Kurumsal e-posta adresleri
- Görev unvanları
- Telefon numaraları
- Bölgesel/konum bilgileri
- Zscaler ürün lisanslama ve ticari bilgileri
- Bazı destek vakalarının içerikleri
Veri İhlinin Etkileri ve Güvenlik Önlemleri
Zscaler’in açıklamasına göre, bu veri ihlali yalnızca kendi Salesforce hesabını etkilemekte. Şirket, herhangi bir Zscaler ürünü, hizmeti ya da altyapısı üzerinde bir tehdit bulunmadığını özellikle vurguladı. Ancak, Zscaler müşteri bilgileri üzerindeki bu ihlalin, potansiyel oltalama ve sosyal mühendislik saldırıları için bir fırsat oluşturabileceğini öngörerek, müşterilerinin bu tür tehlikelere karşı dikkatli olmalarını önerdi.
Zscaler, durumu kontrol altına almak amacıyla, tüm Salesloft Drift entegrasyonlarını iptal etti ve diğer API jetonlarını değiştirdi. Ayrıca, olayla ilgili bir soruşturma başlatarak müşteri destek çağrılarına yanıt verirken daha güçlü bir kimlik doğrulama protokolü geliştirdi.
Google Tehdit İstihbaratı ve Saldırganların Eylemleri
Geçtiğimiz haftada Google Tehdit İstihbaratı, saldırganların arkasındaki grubun UNC6395 olarak adlandırıldığını bildirdi. Bu grup, destek vakalarını hedef alarak, kimlik bilgileri, şifreler ve müşterilerin destek talepleri sırasında paylaştığı gizli bilgileri çalmaktadır. Google, “UNC6395, Amazon Web Services (AWS) erişim anahtarları gibi hassas kimlik bilgilerini hedef alıyor,” ifadelerini kullandı.
Saldırganların, saldırı sırasında belirli sorgu işlerini silme becerisinin olduğu ancak, günlük kayıtlarının etkilendiği bilgisi de gündeme geldi. Bu nedenle, kurumsal kullanıcıların ilgili logları incelemeleri önerildi.
Salesloft’ta Yaşanan Tüm Etkiler
Zscaler’ın Salesforce hesabının yanı sıra, bu Salesloft tedarik zinciri saldırısının Drift Email entegrasyonunu da etkilediği ortaya çıktı. Drift Email, e-posta yanıtlarını yönetmek ve CRM ile pazarlama otomasyonu veritabanlarını organize etmek için kullanılıyor. Ayrıca, saldırganların çalınan OAuth jetonlarını kullanarak Google Workspace e-posta hesaplarına erişim sağladığı ve e-postaları okuduğu bilgisi de edinildi.
Bu olaydan sonra, hem Google hem de Salesforce, Drift entegrasyonlarını geçici olarak devre dışı bıraktı ve inceleme süreci tamamlanıncaya dek bu durum sürecek.
Son Dönemdeki Diğer İhlaller ve Sosyal Mühendislik Saldırıları
Araştırmacılar, Salesloft Drift’in ihlalinin, yakın zamanda şifreleme grubu ShinyHunters tarafından gerçekleştirilen Salesforce veri hırsızlığı saldırılarıyla örtüştüğünü belirtiyor. Yılın başından itibaren, bu tehdit aktörleri, Salesforce hesaplarını ihlal etmek amacıyla sosyal mühendislik saldırıları gerçekleştirdi ve verileri indirdiler.
Bu tür saldırılarda, aktörler çalışanları tuzağa düşürmek için sesli oltalama (vishing) yöntemlerini kullanarak, kötü niyetli bir OAuth uygulamasını şirketin Salesforce hesaplarıyla bağlamalarını sağladılar. Bağlantı sağlandıktan sonra, saldırganlar bu bağlantıyı kullanarak veri tabanlarını indirdiler ve ardından şantaj yapmak için kullanmaya başladılar.
Sonuç olarak, bu tür saldırılar ve güvenlik ihlalleri, hem kullanıcılar hem de şirketler için önemli bir tehdit oluşturuyor. Zscaler’in yaşadığı olay, siber güvenliğin her zamankinden daha fazla ciddiyetle ele alınması gerektiğini gözler önüne seriyor.
