Scapted Lapsus $ Hunters olarak bilinen bir siber suç kolektifi, Salesforce müşterilerinden yaklaşık bir milyar kayıt tuttuğunu iddia ederek Dark Web’de yeni bir veri sızıntı sitesi başlattı.
Grup, 10 Ekim 2025 tarihli bir fidye son tarihi belirleyerek yaygın bir şantaj kampanyası düzenliyor. Talepleri karşılanmazsa hassas veriler ve teknik ayrıntılar yayınlamakla tehdit ettiler.
Tehdit oyuncusu, Salesforce’da yetersiz iki faktörlü kimlik doğrulama (2FA) ve OAuth korumaları da dahil olmak üzere önemli güvenlik düşüşlerinin 100’den fazla Salesforce örneğinden ödün vermelerini sağladığını iddia ediyor.
Yeni soğan siteleri, Toyota Motor Corporation, FedEx, UPS, Adidas, Disney/Hulu ve McDonald’s dahil olmak üzere veri hırsızlığının kurbanı olarak çok sayıda yüksek profilli şirketi listeliyor.
Listelenen diğer önemli isimler Qantas, Aeroméxico, Vietnam Havayolları, Stellantis, IKEA, KFC, GAP ve Eğitim Platformu Tuvaldir.
Dağınık kaydırıcı $ avRS Listeleri
Dağınık Lapsus $ Hunters yeni bir varlık değil, Shinyhunters, Dağınık Örümcek ve Lapsus $ dahil olmak üzere en meşhur hack gruplarından üyelerin bir koalisyonudur.
Bu ittifak, özellikle Salesforce ortamlarına odaklanan 2025 yılı boyunca bir dizi büyük siber saldırıya bağlanmıştır. Grubun oluşumu, karmaşık saldırı kampanyalarını yürütmek için farklı beceri setlerini birleştiren bir “kaos üçlüsü” ni temsil ediyor.
Sofistike sosyal mühendislik ve teknik sömürünün bir karışımı yöntemlerini karakterize eder. Saldırganlar, çalışanları kandırmak için telefon çağrılarında BT destek personelini taklit ettikleri sesli kimlik avı (Vishing) kampanyaları kullanılarak gözlendi.
Bu çağrılar sırasında, kurbanlara OAuth jetonlarını yakalayan kötü amaçlı bir başvuruyu yetkilendirmeye yönlendirilir. Bu jetonlar, saldırganlara şirketin Salesforce ortamına sürekli erişim sağlar, çok faktörlü kimlik doğrulama kontrollerini etkili bir şekilde atlar ve CRM verilerinin kütle pessasyonuna izin verir.
Salesforce kampanyası siber suç taktiklerinde stratejik bir evrimi vurgulamaktadır. Dosyaları şifreleyen geleneksel fidye yazılımlarına güvenmek yerine, dağınık Lapsus $ avcıları gibi gruplar veri hırsızlığı ve gasp üzerine odaklanıyor.
Kaldıraç, sistemlerin bozulması değil, müşteri tepkisine, düzenleyici para cezalarına ve ciddi itibar hasarına yol açabilecek çalınan verilerin halka maruz kalmasıdır.
2025’in ortalarında, bu kolektifle ilişkili aktörlerin, Salesloft ve Drift gibi üçüncü taraf entegrasyonlara bağlı OAuth tokenlerinden ödün vererek 760 şirketten 1,5 milyar Salesforce rekoru çaldığını iddia ettiler.
Saldırganlar genellikle çalınan verilerin parçalarını kanıt olarak serbest bırakır ve müzakereler sırasında baskıyı en üst düzeye çıkarmak için tam veri kümesini geri tutarlar.
Bu olay, Google, Jaguar Land Rover ve LVMH gibi şirketlere yönelik 2025 tarihli saldırılarda görülen bir modeli takip ediyor.
Son zamanlarda dağıtımlarını açıklayan bir “veda mektubu” na rağmen, güvenlik uzmanları grubun basitçe yeniden markalaştığına inanıyor ve büyük ölçekli veri sızıntıları tehdidi önemli.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
