Hacker Collective’in kendisi “dağınık Lapsus $ Hunters” – bir ittifak, Shinyhunters, dağınık örümcek ve Lapsus $ öğelerini yineleyen bir ittifak, kurbanları, kurbanları delmek için ödemeye ve taahhütlü verilerin silinmesi için baskı yapmak için bir gasp portalı başlattı.
Grubun kaldıraç, sosyal mühendislik, OAuth istismarı ve aşağı yönlü tedarik zinciri uzlaşması yoluyla elde edilen aylar süren müdahaleleri yansıtan Salesforce veri kümelerine odaklanıyor.
UpGuard ve diğer analistler, Salesloft’un sürüklenen ekosistemine ve hedefler arasında geniş API erişiminin kilidini açan OAuth tokenlerine bağlı olarak silahlandırılan Salesforce entegrasyonlarını seslendiren sesli akıştan gelen evrimini izlediler.
Google’ın tehdit istihbarat ekibi, saldırganların Salesforce örneklerine ayrıcalıklı erişim elde etmek için ikna edici telefon bahaneleri ve hileli entegrasyonları kullanmasını ayrı ayrı belgeledi.
Olayların Zaman Çizelgesi
2024’ün sonlarında: Saldırganlar, kullanıcıları veya yöneticileri Salesforce’a kötü amaçlı entegrasyonlar eklemeye ikna etmek, API seviyesi erişim sağlayarak ve ölçekli pespiltrasyon sağlayarak telefon tabanlı sosyal mühendislik (“Vishing”) yürütüyor.
FBI, entegrasyonlara ve kullanıcı iş akışlarına olan güvenden yararlanarak Google ve Cisco da dahil olmak üzere büyük işletmelerden satılan verileri çalan koordineli kampanyalar konusunda uyardı.
Mart – Haziran 2025: davetsiz misafirler Salesloft’un kurumsal GitHub ortamından ödün veriyor, bir kullanıcı yaratıyor ve depoları ve iş akışlarını manipüle ediyor, daha sonra Drift uygulamasının AWS ortamına dönüyor.
Orada, Drift müşterilerine ait OAuth jetonlarını bulurlar ve bu jetonları entegre platformlara (en eleştirel, Salesforce) programlı olarak erişmek için kullanırlar.
Google daha sonra, ilk sosyal mühendislik Tradecraft ile sürüklenme entegre edilmiş müşterilerin “toplu” uzlaşmalarını sağlayan OAuth token kötüye kullanımı arasındaki noktaları bağladı.
Haziran-Ağustos 2025: Google, sesli aktarma oyun kitabı ve kötü niyetli Salesforce entegrasyonları hakkında ayrıntılı bir danışma yayınlıyor.
Ağustos ayının ortalarında, geçerli OAuth jetonları, Salesforce verilerini mağdurlardan çekmek için aktif olarak kullanılır ve etkiyi sadece Salesforce entegrasyonlarının etkilendiğine dair ilk iddiaların ötesine genişletir.
20-26 Ağustos, 2025: Salesloft, sürüklenme olayını açıklar ve Google, veri hırsızlığı mekaniğinin daha derin teknik analizlerini yayınlar ve tehdit yolunun insan manipülasyonunu, kod depo zayıflıklarını ve bulut hizmetlerine tokenize erişimini güçlendirir.
Eylül 2025: Kolektif, kısaca “kararıyor” olduğunu iddia ediyor, ancak Salesforce verileriyle bağlantılı faaliyet devam ediyor, bu da operasyonel yeniden markalama veya duraklama yerine aşamalı duraklamalar öneriyor.
3 Ekim 2025: Grup, Salesforce müşterileri olduğu iddia edilen bir Tor Torlu gasp portalı listesini açıklar ve taleplerin karşılanması durumunda ödemeler için 10 Ekim son tarihi belirleyerek, 10 Ekim son tarih belirledi.


Bazı gözlemciler Clear – Web aynasına referanslar not eder, ancak çekirdek site soğan ağında işlev görür.
Gasp Portalı ve Sonuçlar
Sızıntı sitesi organizasyonları kataloglar ve Salesforce verilerinin oranı veya hacmi, müşteri, boru hattı ve anlaşma meta verilerinin iş açısından kritik doğasını silahlandırarak çalındı. Bu stratejik bir seçimdir: Salesforce’un gücü – üçüncü taraf entegrasyonu ve esnek API’ler – kullanıcı güveni ve OAuth kapsamları istismar edildiğinde saldırı yüzeyini de genişletir.
Ders keskin: Kullanıcı Riski ve Entegrasyon Yönetişimi Artık Kurumsal Veri Savunması’nın kalbinde oturuyor ve GitHub/AWS Gizli Hijyen, OAuth Scope minimizasyonu, en az ayrıcalık, jeton rotasyonu ve sürekli entegrasyon izleme artık isteğe bağlı kontroller değil.
İki baskın izinsiz giriş yolu şunlardı: kullanıcıları geniş okuma kapsamları ile kötü amaçlı entegrasyonları onaylamaya kandırmak; ve meşru bir entegrasyon sağlayıcısından (DRIFT) tehlikeye atmak, daha sonra keşfedilen OAuth jetonlarını bağlı Salesforce kiracılarından gelen veri toplamak için kötüye kullanmak.
Salesforce, çekirdek bir Salesforce kusurundan ziyade sosyal mühendisliğe, OAuth jeton kötüye kullanımı ve arz zinciri zayıflığına işaret eden kanıtlarla uyumlu bir platform uzlaşması veya güvenlik açığı sömürüsünün belirtisi olmadığını belirtti.
Ancak platform, güçlü entegrasyonlar yoluyla topladığı ve ortaya koyduğu verilerin hacmi ve hassasiyeti nedeniyle etkinin merkezi olmaya devam ediyor.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.