Siber suç, sahtekarlık yönetimi ve siber suç, kimlik ve erişim yönetimi
Tam ihlal kapsamı belirsizliğini koruyor; Yüzlerce kuruluşun etkilediği bildirildi
Mathew J. Schwartz (Euroinfosec) •
3 Eylül 2025
Bilgisayar korsanlarının hizmet olarak pazarlama yazılım sağlayıcısı Salesloft’un sürüklenmesi yapay zeka sohbet acentesinden erişim belirteçlerinin neden olduğu veri ihlallerinin döküntüsü artık Cloudflare’yi de içeriyor.
Ayrıca bakınız: 2024 Tehdit Avı Raporu: Modern rakiplerin altına alınmasına ilişkin bilgiler
Cloudflare Salı günü, geçen ay Salesloft’a karşı ihlal eden saldırganın, CloudFlare’nin Salesforce Müşteri İlişkileri Yönetimi örneğine erişmek ve verileri çalmak için kullanılan OAuth Access Jetons’ı çaldığını söyledi.
Saldırgan ayrıca, Cumartesi ve Pazartesi günleri müşterilere kendi güvenlik uyarılarını yayınlayan Salesloft müşterileri Zscaler ve Palo Alto Networks için Salesforce örneklerini ihlal etti. Tüm firmalar Salesloft’un geçen hafta ihlal ve takip saldırılarının onları uyardığını söyledi.
Google Cloud’un Maniant olay müdahale grubundaki müfettişler, Salesloft’un ihlalleri araştırmasına ve düzeltmesine yardımcı olmak için işe aldıkları, saldırıların ve veri hırsızlığının 8 Ağustos’tan 18 Ağustos’a kadar sürdüğünü söyledi.
Cloudflare, çalınan Salesforce verilerinin müşteri desteği ve dahili müşteri vaka yönetimi ile ilgili olduğunu söyledi. “Bu bilgilerin çoğu müşteri iletişim bilgileri ve temel destek vaka verileridir, ancak bazı müşteri destek etkileşimleri bir müşterinin yapılandırması hakkında bilgi ortaya çıkarabilir ve erişim belirteçleri gibi hassas bilgiler içerebilir.” Dedi.
Sonuç olarak, “bir müşterinin destek sistemimizde – günlükler, jetonlar veya şifreler de dahil olmak üzere – güçlendirilmiş olabileceği bilgiler tehlikeye atılmalıdır ve bu kanal aracılığıyla bizimle paylaşabileceğiniz kimlik bilgilerini döndürmenizi şiddetle tavsiye ederiz.” Dedi.
Hala açılıyor
Salesloft Drift ihlalinden etkilenen kuruluşların ve verilerin tam kapsamı, henüz net olmasa da, zaten büyük sırada yer alıyor. Google’daki tehdit araştırmacıları, UNC6395 olarak izlediği saldırganın, Drift e -postasını CRM yazılımıyla entegre eden 700 kuruluştan Salesforce verilerini çaldığını söyledi.
Birçok müşteri, Drift e -postasını, saldırganın da veri çaldığı diğer uygulamalarla entegre eder. Eloqua, Facebook Analytics, Google Analytics, Marketo, Zapier ve Zoom dahil olmak üzere 50’den fazla araç için bağlantılar mevcuttur.
Başka bir entegrasyon, daha önce G Suite olarak bilinen Google Workspace içindir. Google Perşembe günü, Salesloft ihlali sonucunda saldırganın bazı müşterilerin çalışma alanı e -posta hesaplarına eriştiğini doğruladı. “Potansiyel olarak erişilen tek hesap, Salesloft Drift ile entegre edilecek şekilde yapılandırılmış olan hesaplardı; aktör, bir müşterinin çalışma alanı alanındaki diğer hesaplara erişemezdi.” Dedi.
Google, çalışma alanı ile tüm sürüklenme entegrasyon işlevlerini devre dışı bıraktığını, Drift’i çalışma alanına erişim sağlayan ve etkilenen kullanıcıları ve Google çalışma alanı yöneticilerini bilgilendiren tüm OAuth jetonlarını iptal ettiğini söyledi. “Açık olmak gerekirse, Google çalışma alanından veya alfabenin kendisinden ödün verilmedi” dedi.
Bu ihlalden etkilenen 700 ve belki de daha birçok kuruluştan sadece üçü şimdiye kadar müşterilere uyarı verdi.
Kayıtlı gelecekteki tehdit istihbarat analisti Allan Liska, “Hepiniz tokalaştınız, sanırım bu Salesloft sürüklenme ihlalleriyle gerçekten kötü bir düşüş içindeyiz,” dedi.
Saldırganların potansiyel motivasyonu belirsizliğini koruyor. Birincil hedefleri finansalsa, çalınan veriler fidye için tutulabilir ve daha sonra kamuya açık olabilir. Tersine, ihlaller siber yemek operasyonundan kaynaklanıyorsa, asla kamuya açık olmayabilir.
Potansiyel olarak iyileştirici bir faktör, en azından Salesforce verileri ve diğer Salesloft Drift entegrasyonları ile, verilerin çoğunun satışa özgü görünmesi ve büyük ölçüde iş iletişim bilgilerini ve sözleşme ayrıntılarını ve bazı destek vaka özelliklerini içermesidir.
Zscaler, çalınan bilgilerin yüksek düzeyde hazırlanmış kimlik avı kampanyaları için iyi kullanılabileceği konusunda uyarsa da, etkilenen kuruluşlardan gelen ihlal raporlarının üçlüsü, çalınan verilerin çoğunun özellikle SNSISIVE olmadığını gösteriyor.
Buna rağmen, Cloudflare’nin müşterilere ihlal bildiriminde söylediği gibi: “Herhangi bir verinin uzlaşmasının kabul edilemez olduğunu düşünüyoruz.”