Salesloft, saldırganların ilk olarak Mart ayında GitHub hesabını ihlal ettiğini ve daha sonra Ağustos ayında yaygın Salesforce veri hırsızlığı saldırılarında kullanılan Drift Oauth jetonlarının çalınmasına yol açtığını söyledi.
Salesloft, şirketlerin sosyal yardım ve müşteri iletişimlerini yönetmelerine yardımcı olan yaygın olarak kullanılan bir satış katılım platformudur. Drift platformu, Salesforce gibi platformlarla entegrasyonlar da dahil olmak üzere chatbots ve otomasyonu satış boru hatlarına entegre eden bir konuşma pazarlama aracıdır.
İkisi, ilk olarak Ağustos ayı sonlarında açıklanan büyük bir tedarik zinciri tarzı ihlalinin merkezinde yer alıyor ve Google’ın tehdit istihbarat grubu saldırıları UNC6395’e bağladı.
Bununla birlikte, BleepingComputer, dağınık örümcek olduğunu iddia eden Shinyhunters gasp çetesi ve tehdit aktörlerinin, önceki Salesforce veri hırsızlığı saldırılarına ek olarak Salesloft Drift saldırılarına katıldığını öğrendi.
İhlal Github ile başladı
Salesloft ilk olarak 21 Ağustos’ta Drift uygulamasında bir güvenlik sorununu açıkladı ve beş gün sonra OAuth jetonlarının kötü niyetli kullanımı hakkında daha fazla ayrıntı ortaya koydu.
Bu, Google, Zscaler, Cloudflare, Workiva, Tenable, JFrog, Bugcrowd, Palo Alto Networks de dahil olmak üzere Salesloft müşterilerine yaygın Salesforce veri hırsızlığı saldırılarına yol açtı ve liste hala büyüyor.
Salesloft veri hırsızlığı saldırılarında, tehdit aktörleri öncelikle Salesforce örneklerinden destek vakalarını çalmaya odaklandılar, bunlar daha sonra kimlik bilgilerini, kimlik doğrulama jetonlarını ve destek biletlerinde paylaşılan diğer sırları toplamak için kullanıldı.
“İlk bulgular, aktörün birincil amacının, özellikle AWS erişim anahtarları, şifreler ve kar tanesi ile ilgili erişim belirteçleri gibi hassas bilgilere odaklanan kimlik bilgilerini çalmak olduğunu göstermiştir.”
Salesloft’un ihlaline yanıt vermesine yardımcı olan Mantiant’ın bir soruşturmasına göre, tehdit aktörleri ilk olarak Mart ve Haziran 2025 yılları arasında GitHub ortamına erişim sağladı.
Bilgisayar korsanları, birden fazla GitHub deposundan kod indirdi, konuk kullanıcı hesapları ekledi ve sonraki saldırı için zemin hazırlayarak haydut iş akışları oluşturdu.
Mantiant, saldırganların aynı dönemde Salesloft ve Drift ortamlarında keşif faaliyetleri gerçekleştirdiğini doğruladı.
Tehdit aktörleri Drift’in AWS ortamını ihlal ettikten sonra, Salesforce ve Google çalışma alanı da dahil olmak üzere teknoloji entegrasyonları arasında müşteri verilerine erişmek için kullanılan OAuth jetonlarını çalmalarına izin verdikten sonra etkinlik arttı.
Salesloft, kimlik bilgilerini döndürdüğünü, sertleşmiş savunmaları ve altyapısı izole edilen ve kimlik bilgilerini de döndüren Drift’ten doğrulanmış segmentasyonu belirtiyor.
Mantiant’ın yardımıyla, firma tehdit avı gerçekleştirdi ve hiçbir ek uzlaşma göstergesi bulamadı, yani tehdit oyuncusu artık çevresinde bir dayanak yok.
Mantiant, muhafaza ve segmentasyonu doğruladı ve katılım artık adli kalite güvence incelemesine geçti.
Dün yayınlanan bir güncelleme, Drift Güvenlik olayı tarafından tetiklenen ihtiyati askıya alma işleminin ardından Salesforce ile Salesloft entegrasyonunun restorasyonunu duyurdu.
Salesforce kullanıcıları artık tüm Salesloft entegrasyonlarına erişebilir ve şirket, veri senkronizasyonunu gerçekleştirmesi gerekenler için adım adım rehberlik sağladı.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.