Dağınık Lapsus $ Hunters Tehdit Collective, grubun Salesloft ve Salesforce ortamlarını ihlal eden kurbanları zorlamaya çalışmak için yeni bir karanlık web veri sızıntısı sitesi başlattı.
Dağınık Lapsus $ Hunters, Shinyhunters, Lapsus $ ve Dağınık Örümcek Tehdit Gruplarının üyelerini içeren – birçoğu iyi bilinen kabaca 40 şirket hakkında ayrıntılar ve örnek veriler yayınladı ve 10 Ekim’e kadar fidye ödenmezse tüm veri setlerini yayınlamakla tehdit ediyor.
Veriler, Salesforce örneklerine yönelik daha önce bildirilen Salesloft ve sosyal mühendislik saldırılarının ihlallerinden kaynaklanıyor gibi görünüyor.
Salesforce, 2 Ekim’deki yaptığı açıklamada, şirketin “dış uzmanlar ve yetkililerle ortaklaşa araştırdığımız tehdit aktörlerinin son gasp girişimlerinin farkında olduğunu söyledi. Bulgularımız, bu girişimlerin geçmiş veya asılsız olaylarla ilgili olduğunu ve destek sağlamak için etkilenen müşterilerle meşgul olduğumuzu gösteriyor.
“Şu anda, Salesforce platformunun tehlikeye atıldığına dair bir gösterge yok veya teknolojimizde bilinen herhangi bir güvenlik açığı ile ilgili bu etkinlik yok. Bu durumlarla ilgili nasıl olabileceğini anlıyoruz. Müşteri ortamlarını ve verilerinin korunması en önemli önceliğimiz olmaya devam ediyor ve güvenlik ekiplerimiz rehberlik ve destek sağlamak için tamamen meşgul.”
Salesforce, müşterileri “tehdit aktörleri için ortak taktikler olarak kalan kimlik avı ve sosyal mühendislik girişimlerine karşı uyanık kalmaya” teşvik etti.
Salesforce Dağınık Lapsus $ Hunters tarafından da hedeflendi
Dağınık Lapsus $ avcıları, “Hassas Olarak Tanımlanabilir Bilgiler (PII) içeren 1 milyar kayıtların sistemlerinizden çıkarıldığını” iddia ederek Salesforce’u gönderdi.
“Talebimize uymadıkça, 10/10/25 (son tarih) itibariyle, size karşı sivil ve ticari dava açan birçok hukuk firmasına açıkça uyacağız.”
Tehdit kolektifi özellikle Berger Montague hukuk bürosundan bahsetti ve grup da düzenleyici uyum yetkilileriyle işbirliği yapmakla tehdit etti.
Gruplar, “Ayrıca, Avrupa GDPR kapsamında bir veri denetleyicisi olarak şirketinizin ve CCPA, HIPAA vb. Gibi diğer birçok benzer yasanın, yıl boyunca süren kampanyamızda bu tür müdahaleleri ve veri biçimlerini önleyebileceğine dair tam bir belge sunacağız” dedi. “Bu belge, saldırılarımızın nasıl yapıldığı, isteklerimizin parmak izi ve bu açık tanımlanmış ağ trafiği modelinin nasıl kolayca engellenebileceğine dair teknik ayrıntılar içerecek.”
Gruplar ayrıca herhangi bir ceza yargılamasında yasal yetkililerle çalışmakla tehdit ettiler ve “tüm bunlar önlenebilir. Çok kolay ve hızlı bir şekilde” ekledi.
Tehdit grupları, Salesforce’un etkilenen tüm şirketler için konuyu çözebileceğini söyledi: “Uyarsanız, herhangi bir aktif veya bekleyen müzakereden bireysel olarak müşterilerinizden çekileceğiz.”
Dağınık Lapsus $ Hunters, Cyber Express’ten soruları cevaplar
Cyber Express tarafından “net tanımlanmış ağ trafiği modelinin kolayca engellenebileceğini” sordu, dağınık bir Lapsus $ Hunters sözcüsü “Salesforce’un kendisinin savunmasız olmadığını, ancak kesinlikle müşterilerinin korunmasında çok daha iyi bir iş çıkarabileceğini” söyledi.
Tehdit grubu, Cyber Express’e “Mantiant ve FBI tarafından listelenen IOC’lerimizin, Yara kuralları aracılığıyla kolayca tespit edilebilecek ve hemen engellenebilecek birden fazla Mullvad VPN IP adresi ve TOR IP adresleri kullandığımızı açıkça belirtti. Aslında, Salesforce bu kadar müşteri olarak müşterilerinin gerçekten yaptıkları ve bizi durdurduklarını, eğer bu kadar bireysel olarak uygulayamayacaklarını” söyledi.
Salesforce, müşterilere çok fazla güvenlik sorumluluğu yerleştiriyor, grup Cyber Express’e verdiği demeçte – genel olarak bulut güvenliğinin “ortak sorumluluk” modeli hakkında nadir olmayan bir şikayet.
Grup, Cyber Express’e verdiği demeçte, “Esasen Salesforce, ‘Evet, hizmetlerimizi kullanabilirsiniz, ancak güvenlik söz konusu olduğunda çoğunun kendiniz uğraşmanız gerekiyor’ diyor. “Bu süre boyunca Salesforce, ‘Burada yanlış değiliz, lütfen kendinizi korumak için rehberimizi takip edin… vb.’
Veri sızıntısı sitesi tehdit grubu taktiklerini gösterir
Dağınık Lapsus $ Hunters veri sızıntısı sitesi, tehdit gruplarının kurban organizasyonlarını fidye taleplerini karşılamaya çalışmak için kullandıkları bazı baskı ve taktikleri göstermektedir ve ayrıca SaaS ortamlarını güvence altına almanın zorluklarını vurgulamaktadır.
Dağınık Lapsus $ avcılarının iddiaları doğrulanmamış olsa da, grubun veri sızıntısı alanındaki talep edilen kurbanların listesi, Toyota, FedEx, Disney/Hulu, UPS, Home Depot, Marriott, Walgreens, Stellantis, McDonalds, KFC, Gap Inc, Houghton Miflin Harya Albertsons, HBO Max, Instacart, Petco, Puma, Cartier, Adidas, Qantas Airways, CarMax, Saks Beşinci Cadde, Air France & KLM, Google Adsense, Cisco, Transunion, Chanel, Ikea ve Salesforce.