Palo Alto Networks, bir tedarik zinciri saldırısından etkilendiğini ve Salesforce örneklerinden müşteri verilerinin çalınmasına neden olduğunu doğruladı.
İhlal, tehlikeye atılmış bir üçüncü taraf başvurusu olan Salesloft’un sürüklenmesinden kaynaklandı ve Palo Alto Networks’in kendi ürün veya hizmetlerinden hiçbirini etkilemedi.
Siber güvenlik firması, olayın farkında olur olmaz, satıcıyı Salesforce ortamından ayırdığını ve birim 42 güvenlik ekibi tarafından yönetilen tam bir soruşturma başlattığını açıkladı.
Maruz kalan veriler öncelikle iş iletişim bilgileri, dahili satış hesabı ayrıntıları ve temel müşteri vaka verilerinden oluşur. Palo Alto Networks, Palo Alto Networks, potansiyel olarak daha hassas verileri ortaya çıkmış olabilecek bir “sınırlı sayıda müşteriyle” iletişim kurma sürecinde olduğunu belirtti.
Yaygın veri hırsızlığı kampanyası, 8 Ağustos ve 18 Ağustos 2025 arasında gerçekleşti. Google’ın tehdit istihbarat grubunun UNC6395 olarak izlediği bir tehdit oyuncusu, yetkilendirilmemiş erişim elde etmek ve kurumsal satış ortamından gelen verilerin büyük hacimlerini söndürmek için Salesloft Drift entegrasyonu ile ilişkili tehlikeye atılmış OAuth kimlik doğrulama belirteçleri.
Tahminen Salesloft Drift uygulamasından kaynaklanan tedarik zinciri saldırısı, siber güvenlik firması Zscaler ve Google da dahil olmak üzere diğer büyük teknoloji şirketlerini etkiledi.
Ünite 42’den gelen bir tehdit özetine göre, saldırganlar hesap, temas, vaka ve fırsat kayıtları da dahil olmak üzere Salesforce nesnelerinden kütle eksfiltrasyonu gerçekleştirdiler.
Birincil neden kimlik bilgisi hasat gibi görünmektedir; Verileri çaldıktan sonra, bilgisayar korsanları, daha fazla saldırıyı kolaylaştırmak için Amazon Web Services (AWS) ve Snowflake gibi diğer bulut hizmetleri için şifreler ve erişim anahtarları gibi sırlar için aktif olarak taradılar.
Müfettişler, aktörün veri hırsızlığı için otomatik Python araçlarını kullandığını ve sorgu günlüklerini silerek izlerini örtmeye çalıştığını belirtti.
Olay geniş bir endüstri tepkisini tetikledi. 20 Ağustos’ta Salesloft, etkilenen müşterileri bilgilendirmeye başladı ve Salesforce ile işbirliği içinde, bağlantıyı koparmak için Drift uygulaması için tüm aktif erişim belirteçlerini iptal etti.
Salesforce ayrıca Drift uygulamasını AppExchange Marketplace’den geçici olarak kaldırdı. Google’dan sonraki analiz, ihlalin kapsamının başlangıçta inanılandan daha geniş olduğunu ve sadece Salesforce ile entegre olanları değil, sürüklenme platformuna bağlı tüm kimlik doğrulama jetonlarını tehlikeye attığını ortaya koydu.
Palo Alto Networks birimi 42, Salesloft Drift entegrasyonunu kullanan tüm kuruluşları aciliyetle hareket etmeye çağırdı. Öneriler, özellikle saldırganın araçlarıyla ilişkili bir kullanıcı aracısı dizesi için şüpheli etkinlik için Salesforce günlüklerinin kapsamlı bir incelemesini içerir (Python/3.11 aiohttp/3.12.15) ve uzlaşmış verilerde saklanmış olabilecek kimlik bilgilerini veya sırlarını derhal döndürür.
Güvenlik ekibi ayrıca etkilenen kuruluşların takip sosyal mühendislik girişimlerine karşı uyanık olmaları ve sıfır güven ilkeleriyle güvenliği güçlendirmeleri konusunda uyardı.
Salesloft Drift Tedarik Zinciri Saldırısı
Ağustos 2025’te, yaygın bir veri hırsızlığı kampanyası, popüler bir AI ile çalışan chatbot ve müşteri katılım aracı olan Salesloft’un sürüklenme uygulamasıyla ilişkili tehlikeye atılmış OAuth jetonlarını kötüye kullandı. Google tarafından UNC6395 olarak izlenen bir tehdit oyuncusu, 8 Ağustos ve 18 Ağustos arasında yüzlerce kuruluşun Salesforce ortamlarına yetkisiz erişim elde etmek için bu jetonları kullandı.
Birincil güdü kimlik bilgisi hasattı. Saldırganlar, Müşteri Hesapları, Kişiler ve Satış Fırsatları da dahil olmak üzere Salesforce nesnelerinden verilerin kitlesel olarak verilmesini gerçekleştirdiler ve daha sonra daha derin ağ girişlerini kolaylaştırmak için AWS erişim anahtarları, şifreler ve kar tanesi jetonları gibi değerli sırlar için çalınan bilgileri taradı.
Bu tedarik zinciri saldırısının onaylanmış kurbanları şunları içerir:
- Palo Alto Networks: Siber güvenlik firması, CRM platformundan iş iletişim bilgilerinin ve iç satış verilerinin maruz kalmasını doğruladı.
- Zscaler: Bulut Güvenlik Şirketi, adlar, iletişim bilgileri ve bazı destek vaka içeriği dahil olmak üzere müşteri bilgilerinin erişildiğini bildirdi.
- Google: Araştırmacı olmanın yanı sıra Google, çalışma alanı hesaplarının “çok küçük bir sayısına” tehlikeye atılan jetonlar aracılığıyla erişildiğini doğruladı.
Yanıt olarak, Salesloft ve Salesforce, tüm aktif sürüklenme entegrasyon jetonlarını iptal etmek için işbirliği yaptı ve tehdidi içerecek şekilde uygulamayı Salesforce AppExchange’den geçici olarak kaldırdı.
“Shinyhunters” Salesforce Sosyal Mühendislik Kampanyası
Salesloft olayına paralel koşmak, “Shinyhunters” (veya UNC6040) olarak bilinen bir gruba atfedilen daha geniş, devam eden bir kampanyadır. 2015’in ortalarından bu yana, bu grup sofistike ses kimlik avı veya “Vishing” taktiklerini kullanarak çok sayıda büyük şirketi başarıyla ihlal etti.
Bu saldırılarda, tehdit aktörleri, çalışanların genellikle kötü amaçlı bir Salesforce “Bağlı Uygulama” yetkisi vermelerini sağlayarak, çalışanların şirketin Salesforce örneğine erişimini sağlamak için kandırmalarında BT destek personelini taklit eder.
Bu Sosyal Mühendislik Kampanyası, aşağıdakileri içeren uzun bir kurban listesi talep etti:
- Google: Haziran 2025’te grup, Google reklamları müşteri bilgilerini içeren bir Salesforce sistemine erişti.
- Büyük markalar: LVMH (Louis Vuitton, Dior), Chanel ve Adidas gibi lüks ve perakende devleri hedeflendi.
- Finansal ve Sigorta: Allianz Life, Farmers Insurance ve son zamanlarda TransUnion, bu kampanyaya bağlı ihlaller bildirdi ve Transunion olayı 4.4 milyon ABD tüketicisini etkiledi.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.