Hackerone, Salesforce örneğine yetkisiz erişim sağlayan yeni bir veri ihlaliden etkilenen şirketler arasında olduğunu doğruladı. Erişim, Salesloft’un sahip olduğu üçüncü taraf başvuru sürüklenmesinin uzlaşmasıyla kazanıldı.
Bug Bounty platformu, şirketin “varsayılan olarak ifşa” değeri ile uyumlu güvenlik olayını duyurdu. Şirkete göre, güvenlik ekibi ilk olarak 22 Ağustos 2025 Cuma günü Salesforce tarafından olası bir uzlaşma bildirildi.
Bu daha sonra ertesi gün Salesloft tarafından doğrulandı ve Hackerone’un olay müdahale protokollerini hemen etkinleştirmesini istedi.
Şirket, ihlalin tam kapsamını ve etkisini araştırmak için hem Salesforce hem de Salesloft ile ortaklaşa çalışıyor. Bu olay yüzlerce şirketi etkileyen daha geniş bir saldırı kampanyasının bir parçası.
Hackerone veri ihlalini doğrular
Google’ın maniant tarafından yapılan bir raporda ayrıntılı olarak açıklandığı gibi, tehdit aktörleri, Drift pazarlama ve satış uygulaması içindeki bir güvenlik açığından yararlanarak Salesforce müşteri kayıtlarını hedef aldı.
Saldırganlar, sürüklenmeyi tehlikeye atarak, bağlı Salesforce ortamlarına yöneltip yetkisiz erişim sağlayarak hassas müşteri ve satış verilerinin çalınmasına izin verdiler.
Hackerone’un onaylaması, bu tedarik zinciri saldırısına yanıt veren büyüyen bir firma listesine yerleştiriyor. Soruşturma devam ederken, Hackerone Salesforce örneğindeki bir kayıt alt kümesine yetkisiz taraflar tarafından erişildiğini belirtti.
Ancak şirket, olay sırasında hiçbir müşteri güvenlik açığı verisinin etkilenmediğine veya maruz kalmadığına dair güvenini dile getirdi.
Bu, firmanın, veri segmentasyonunu yöneten ve Salesforce ortamındaki tehlikeye atılan satış ve pazarlama verilerinden uzakta hassas güvenlik açığı bilgilerini etkili bir şekilde silinen katı iç politikalarına ve kontrollerine atfedilir.
Hackerone, maruz kalan bilgilerin kesin doğasını belirlemek için erişilen belirli kayıtlar üzerinde adli bir analiz yapmaya devam ediyor.
Şirket, ihlalden etkilenen tespit edilen müşterilerle doğrudan iletişim kurmayı taahhüt etmiştir.
Bu olay, üçüncü taraf uygulama entegrasyonları ile ilişkili önemli riskleri ve tedarik zinciri saldırılarının bir kuruluşun doğrudan güvenlik savunmalarını atlama potansiyelini vurgulamaktadır.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.