Google ve Mantiant’tan yeni bir danışma, Salesforce’da yaygın bir veri ihlali ortaya koyuyor. UNC6395’in çalıntı OAuth jetonlarını kullanarak MFA’yı nasıl atladığını ve kuruluşların insan olmayan kimlikleri güvence altına almak için neler yapabileceğini öğrenin.
Google Tehdit İstihbarat Grubu (GTIG) ve Mantiant tarafından yayınlanan yakın tarihli bir danışma, Salesforce’u hedefleyen yaygın bir veri hırsızlığı kampanyası ortaya koydu. 8 Ağustos’tan en az 18 Ağustos 2025’e kadar gerçekleşen kampanya, UNC6395 olarak bilinen bir tehdit aktörü tarafından gerçekleştirildi.
Güvenliği dijital anahtarla atlamak
GTIG’nin danışmanlığına göre, bu durumda, saldırganlar çekirdek Salesforce platformunda bir güvenlik açığından yararlanmadı; Bunun yerine, Salesloft Drift üçüncü taraf uygulamasından OAuth jetonlarını tehlikeye attılar.
Bilgileriniz için OAuth jetonları, bir kullanıcının hesabına şifreye ihtiyaç duymadan erişim sağlayan özel bir dijital anahtar gibidir. Saldırganlar bu insan olmayan kimlikleri (NHIS) istismar ettiği için, basit şifre hırsızlığına karşı koruyan çok faktörlü kimlik doğrulama (MFA) gibi geleneksel güvenlik önlemlerini tamamen atlayabilirler.
İçeri girdikten sonra UNC6395, çok sayıda kurumsal Salesforce hesabından sistematik olarak büyük miktarda veri ihraç etti. Birincil hedefleri kimlik bilgilerini toplamak ve daha fazla saldırı için kullanılabilecek yüksek değerli “sırlar” aramaktı.
Tehdit oyuncusu, AWS erişim anahtarları ve kar tanesi jetonları gibi hassas bilgileri arayan müşteri hesaplarından, kullanıcılardan ve fırsatlardan verileri özel olarak hedefledi.
Danışma, Google Cloud müşterilerinin bu kampanyadan doğrudan etkilenmediğini belirtti.
Hızlı tepki
Saldırganlar, sorgu işlerini izlerini karşılamak için silerek güvenlik konusunda bir farkındalık gösterdiler. Ancak, etkinlikleri hala günlüğe kaydedildi ve güvenlik ekiplerinin takip etmesi için bir iz sağladı.
Hızlı bir yanıtta Salesloft, Salesforce ile işbirliği içinde, 20 Ağustos 2025’teki Drift uygulaması için tüm aktif erişim belirteçlerini iptal etti. Ayrıca, Salesforce araştırma devam ederken Drift uygulamasını AppExchange platformundan geçici olarak kaldırdı.
Hem şirketler hem de GTIG, ihlalden etkilenen kuruluşları bildirdi.
Bu olay üzerine düşünen Astrix Security, gözlemlerini ayrı bir blog yazısında paylaştı ve NHIS’ten yararlanmanın saldırganlar için artan bir eğilim olduğunu ortaya koydu çünkü bu kimlikler kalıcı ve genellikle üst düzey ayrıcalıklara sahip.
Astrix, bu kampanyayı, saldırganların verileri dışarı atmak ve bulut altyapı anahtarları gibi daha yüksek değerli NHI’leri avlamak için doğrudan, güvenilir bir yol kazandığı bu eğilimin bir ders kitabı örneği olarak adlandırıyor.
Bu nedenle, kuruluşlar proaktif güvenlik önlemlerini benimsemelidir. GTIG, bağlı uygulama kapsamlarını kısıtlayarak, Salesforce verilerinde açıkta kalan sırları arayarak, tehlikeye atılan kimlik bilgilerini döndürerek, belirli IP adreslerini/kullanıcı ajanı dizelerini kontrol ederek ve gelecekteki riski sınırlamak için IP kısıtlamalarını zorlayarak erişim kontrollerinin sertleşmesini önerir.
Astrix Security’de Field CTO olan Jonathan Sander, hackread.com ile paylaşılan bir yorumda ihlalin “klasik NHI saldırısı” olduğunu söyledi. Saldırganların “insanların fark etmeyeceği” ve daha fazla çalmak için gölgelerde faaliyet gösteren şeyleri çaldıklarını açıkladı.
“Ne yazık ki, çoğu zaman gördüğümüz şey, insanların NHI’ları hakkında bilmediklerini bilmedikleri” dedi ve birçok kuruluşun bu insan olmayan kimliklerin temel bir envanterini bile yaratmadığını vurguladı.