Google, Salesloft Drift platformunu içeren bir güvenlik ihlalinin, başlangıçta rapor edilenden daha kapsamlı olduğunu ve hizmete bağlı tüm kimlik doğrulama jetonlarını potansiyel olarak tehlikeye attığını doğruladı.
Google Tehdit İstihbarat Grubu’ndan (GTIG) yeni bulgular, daha önce Salesforce entegrasyonlarıyla sınırlı olduğu düşünülen olayın, DRIFT ile bağlantılı tüm üçüncü taraf uygulamaları etkilediğini göstermektedir.
Google, tüm Salesloft Drift müşterilerine, potansiyel olarak tehlikeye atılmış olarak depolanan veya sürüklenme platformuna bağlı tüm kimlik doğrulama jetonlarını düşünmeleri ve derhal iyileştirici eylemde bulunmalarını tavsiye ediyor.
İhlal ile ilgili soruşturma, GTIG’nin UNC6395 olarak izlenen bir tehdit oyuncusu tarafından yürütülen yaygın bir veri hırsızlığı kampanyası belirledikten sonra başladı.
Oauth jetonları tehlikeye atıldı
8 Ağustos ve 18 Ağustos 2025 arasında, aktör, Salesloft Drift üçüncü taraf uygulamasıyla ilişkili tehlikeye atılmış OAuth jetonlarını kullandı ve çok sayıda kurumsal Salesforce örnekinden büyük miktarda veri ihraç etti.
GTIG, birincil nedenin Amazon Web Hizmetleri (AWS) erişim anahtarları, şifreler ve kar tanesi ile ilgili erişim belirteçleri dahil olmak üzere hassas kimlik bilgilerini hasat etmek olduğunu değerlendirir.
İlk keşfe yanıt olarak Salesloft, Salesforce ile işbirliği içinde 20 Ağustos 2025’te harekete geçti. Drift uygulaması için tüm aktif erişim ve yenileme jetonlarını iptal ettiler ve geçici olarak Salesforce AppExchange’den kaldırdılar.
O zamanlar, her iki şirket de etkinin Salesforce ile Drift’i entegre eden müşterilere verildiğine inanıyordu.
Bununla birlikte, soruşturma, tehdit oyuncusunun “sürüklenme e -posta” entegrasyonu için OAuth tokenlerini de tehlikeye attığı doğrulandığı 28 Ağustos 2025’te kritik bir dönüş yaptı.
Kanıtlar, 9 Ağustos 2025’te aktörün bu belirteçleri, Salesloft ile entegre etmek için özel olarak yapılandırılmış çok az sayıda Google çalışma alanı hesaplarından e -postalara erişmek için kullandığını gösterdi. Google, aktörün bir müşterinin çalışma alanı alanında başka bir hesaba erişemeyeceğini açıkladı.
Bir Google sözcüsü, “Açık olmak gerekirse, Google çalışma alanından veya alfabenin kendisinden ödün verilmedi” dedi.
Bu yeni bulgular ışığında Google, müşterilerini korumak için hızlı bir şekilde harekete geçti. Şirket, etkilenen kullanıcıları tanımladı, Drift e -posta uygulamasına verilen belirli OAuth jetonlarını iptal etti ve daha fazla araştırmaya kadar Google Workspace ve Salesloft Drift arasındaki entegrasyon işlevini devre dışı bıraktı. Etkilenen tüm Google çalışma alanı yöneticileri doğrudan bilgilendirilmektedir.
Olay, birbirine bağlı üçüncü taraf uygulamaların sağladığı karmaşık güvenlik zorluklarını vurgulamaktadır. İhlal, Google veya Salesforce’un temel platformlarında bir güvenlik açığından kaynaklanmasa da, bir hizmetteki bir uzlaşmanın entegre sistemler arasında nasıl bir dalgalanma etkisi yaratabileceğini gösterir.
Salesloft, devam eden soruşturmasına yardımcı olmak için siber güvenlik firması Mandiant’ı ele aldı ve güvenlik danışmanlığını güncelledi.
Salesloft Drift kullanan kuruluşların derhal savunma önlemleri almaları şiddetle tavsiye edilir. Öneriler arasında, sürüklenme örneğine bağlı tüm üçüncü taraf entegrasyonların kapsamlı bir incelemesi, ilgili tüm kimlik bilgilerini iptal etme ve döndürme ve tüm bağlantılı sistemlerin yetkisiz erişim veya şüpheli etkinlik belirtileri için aktif olarak araştırılması yer alır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.