Cloudflare, Salesforce Drift ile Salesforce entegrasyonunu hedefleyen sofistike bir tedarik zinciri saldırısının ardından müşteri bilgilerini etkileyen önemli bir veri ihlali açıkladı.
12-17 Ağustos 2025 arasında meydana gelen olay, müşteri destek vaka verilerinin ve destek kanalları aracılığıyla paylaşılan potansiyel olarak hassas kimlik bilgilerinin maruz kalmasıyla sonuçlandı.
İhlal detayları
Siber güvenlik şirketi, Salesforce ve Salesloft tarafından daha geniş bir güvenlik olayı hakkında bilgilendirildikten sonra geçen hafta Salesforce kiracısındaki şüpheli etkinliklerin farkına vardı.
Saldırı, Cloudflare’nin müşteri destek sistemine erişmek için Salesloft Drift Chatbot entegrasyonundan uzlaşmış OAuth kimlik bilgilerini kullanan Grub1 olarak belirlenen gelişmiş bir tehdit oyuncusu tarafından düzenlendi.
Meydan okulu veriler, müşteri iletişim bilgilerini, destek vaka konusu satırlarını ve Cloudflare desteği ile müşteri yazışmalarının tam gövdesini içerir.
Hiçbir dosya eki erişilemese de, ihlal potansiyel olarak müşterilerin API jetonları, şifreler, günlükler ve yapılandırma ayrıntıları dahil olmak üzere destek biletlerinde paylaşmış olabileceği hassas bilgileri ortaya çıkardı.
“Salesforce destek vaka verilerinin Cloudflare ile destek biletlerinin içeriğini içerdiği göz önüne alındığında, bir müşterinin destek sistemimizde CloudFlare ile paylaşmış olabileceği bilgiler tehlikeye atılmalıdır” dedi.
Bu sadece Cloudflare’e karşı izole bir saldırı değildi. Grub1 tehdit oyuncusu, yüzlerce kuruluşu küresel olarak aynı Salesloft Drift güvenlik açığı ile hedefledi ve bu da onu 2025’in en önemli tedarik zinciri saldırılarından biri haline getirdi.
Google’ın Tehdit İstihbarat Grubu, Cloudflare’nin bu sofistike kampanya hakkındaki bulgularıyla uyumlu araştırmalar yayınladı.
Araştırması sırasında Cloudflare, tehlikeye atılan verilerde kendi API jetonlarının 104’ünü keşfetti. Bu jetonlarla ilgili şüpheli bir aktivite tespit edilmese de, hepsi hemen ihtiyati tedbir olarak döndürüldü.
Şirket, ihlalde temel hizmetlerinin veya altyapısının hiçbirinin tehlikeye atılmadığını vurguladı.
Saldırı Zaman Çizelgesi
Tehdit oyuncunun Cloudflare’e karşı kampanyası, GRUB1’in potansiyel olarak çalınan bir Cloudflare API jetonunu doğrulamaya çalıştığı 9 Ağustos’ta keşifle başladı.
Gerçek ihlal, 12 Ağustos’ta 22:14 UTC’de, saldırgan IP Adresi 44.215.108.109’dan çalıntı Salesloft entegrasyon kimlik bilgilerini kullanarak erişim kazandığında başladı.
Sonraki günlerde Grub1, Cloudflare’nin Salesforce ortamının kapsamlı bir keşifini gerçekleştirdi, veri yapılarını haritaladı ve destek sisteminin operasyonlarını anladı.
Nihai veriler, saldırganın yeni altyapıya (IP 208.68.36.90) geçtiği ve Salesforce’un Toplu API 2.0’ı destekleme durumu verilerini üç dakikadan biraz fazla bir sürede çıkarmak için kullandığı 17 Ağustos’ta gerçekleşti.
Özellikle, saldırgan API işini silerek izlerini örtmeye çalıştı, ancak Cloudflare’nin güvenlik ekibi tam saldırı zaman çizelgesini artık günlüklerden yeniden inşa edebildi.
Cloudflare’nin yanıtı 23 Ağustos’ta olaydan bir zamanlar bilgilendirildi. Şirket derhal çapraz fonksiyonel güvenlik olay müdahale ekibini etkinleştirdi ve dört öncelikli çalışma akışı kurdu: acil tehdit tutma, üçüncü taraf entegrasyonlarını güvence altına almak, daha geniş sistemleri korumak ve müşteri etki analizi.
Cloudflare, şirket liderliğinin “işimizi desteklemek için kullandığımız araçların seçiminden sorumluyuz. Bu ihlal müşterilerimizi hayal kırıklığına uğrattı. Bunun için içtenlikle özür diliyoruz”.
Kuruluşlar için öneriler
Güvenlik uzmanları, benzer üçüncü taraf entegrasyonları kullanan tüm kuruluşların derhal harekete geçmesini önerir:
- Salesforce ortamlarından tüm Salesloft bağlantılarını ayırın
- Tüm üçüncü taraf uygulamaları ve entegrasyonlar için kimlik bilgilerini döndürün
- Normal kimlik bilgisi rotasyon programlarını uygulayın
- Potansiyel olarak maruz kalan hassas bilgiler için destek vaka verilerini inceleyin
- Tüm üçüncü taraf bağlantılar için en az ayrıcalık erişimi uygulayın
- Olağandışı veri ihracat faaliyetleri için gelişmiş izleme dağıtım
Olay, günümüzün birbirine bağlı iş ortamında kuruluşların sadece en zayıf üçüncü taraf entegrasyonu kadar güvenli olduğunu hatırlatıyor.
Cloudflare’nin belirttiği gibi, tüm müşteri tabanlarında güvenlik etkilerini basamaklama potansiyeli göz önüne alındığında, “her yeni araca dikkatli bir incelemeyle yaklaşmamız gerekiyor”.
Cloudflare, gelecekte benzer kampanyalara karşı savunmaya yardımcı olmak için GRUB1’in saldırı yöntemleri hakkında ayrıntılı tehdit istihbaratını daha geniş güvenlik topluluğuyla paylaşmayı taahhüt etti.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.