Salesloft, Drift uygulamasına bağlı veri ihlalinin GitHub hesabının uzlaşmasıyla başladığını açıkladı.
Olayla ilgili bir soruşturmaya başlayan Google’a ait Mantiant, UNC6395 olarak izlenen tehdit oyuncunun, Mart-Haziran 2025’e kadar Salesloft Github hesabına eriştiğini söyledi. Şimdiye kadar 22 şirket, bir tedarik zinciri ihlalinden etkilendiklerini doğruladı.
“Bu erişimle, tehdit oyuncusu birden fazla depodan içerik indirebildi, bir konuk kullanıcı ekleyebildi ve iş akışları kurabildi.” Dedi.
Soruşturma ayrıca Salesloft ve Drift uygulama ortamlarında Mart 2025 ve Haziran 2025 arasında meydana gelen keşif faaliyetlerini de ortaya çıkardı. Bununla birlikte, sınırlı keşif ötesinde herhangi bir faaliyet olduğuna dair bir kanıt olmadığını vurgulamıştır.
Bir sonraki aşamada, saldırganlar Drift’in Amazon Web Services (AWS) ortamına erişti ve Drift Entegrasyonları aracılığıyla verilere erişmek için kullanılan çalıntı OAuth jetonları ile Drift müşterilerinin teknoloji entegrasyonları için OAuth jetonları elde etti.
Salesloft, sürüklenme altyapısını, uygulama ve kodu izole ettiğini ve 5 Eylül 2025’te 6: 00’da ET. Ayrıca Salesloft ortamındaki kimlik bilgilerini döndürdü ve Salesloft ve Drift uygulamaları arasındaki segmentasyon kontrolleri ile çevreyi sertleştirdi.
“API anahtarı üzerinden DRIFT ile entegre edilmiş tüm üçüncü taraf uygulamaların bu uygulamalar için mevcut anahtarı proaktif olarak iptal etmesini öneriyoruz.”
7 Eylül 2025, saat 17: 51’den itibaren Salesforce, 28 Ağustos’ta geçici olarak askıya alındıktan sonra Salesloft platformuyla entegrasyonu geri yükledi. Bu, Salesloft tarafından uygulanan güvenlik önlemlerine ve iyileştirme adımlarına yanıt olarak yapılmıştır.
Salesforce, “Salesforce, herhangi bir sürüklenme uygulaması hariç, Salesloft Technologies ile entegrasyonları yeniden etkinleştirdi.” Dedi. Diyerek şöyle devam etti: “Drift, güvenlik olayına devam eden yanıtımızın bir parçası olarak bir sonraki bildirime kadar devre dışı kalacak.”