Salesloft Salı günü, birden fazla şirket, hizmet olarak pazarlama yazılımı ürününü hedefleyen geniş kapsamlı bir tedarik zinciri saldırısı çılgınlığında, kimlik doğrulama jetonlarının kitlesel hırsızlığına neden olduğu için “çok yakın gelecekte” geçici olarak “çok yakın gelecekte” sürüklendiğini duyurdu.
Şirket, “Bu, uygulamayı kapsamlı bir şekilde gözden geçirmek ve uygulamayı tam işlevselliğe geri dönmek için sistemde ek esneklik ve güvenlik oluşturmak için en hızlı yolu sağlayacaktır.” Dedi. “Sonuç olarak, müşteri web sitelerinde sürüklenen chatbot mevcut olmayacak ve sürüklenmeyecek.”
Şirket, öncelikli önceliğinin, sistemlerinin ve müşterilerinin verilerinin bütünlüğünü ve güvenliğini sağlamak olduğunu ve olay müdahale çabalarının bir parçası olarak siber güvenlik ortakları, maniant ve koalisyon ile birlikte çalıştığını söyledi.
Geliştirme, Google Tehdit İstihbarat Grubu’ndan (GTIG) ve Mantiant’ın, müşterilerin Salesforce örneklerini ihlal etmek için Drift Yapay Zeka (AI) sohbet ajanı ile ilişkili çalıntı OAuth ve yenileme jetonlarını kullanan yaygın bir veri hırsızlığı kampanyası olduğunu söyledikten sonra geliyor.
Şirket geçen hafta, “8 Ağustos 2025’e kadar başlayarak, en az 18 Ağustos 2025’e kadar aktör, Salesforce Müşteri Örneklerini Salesloft Drift üçüncü taraf uygulamasıyla ilişkili tehlikeye atılmış OAuth jetonları aracılığıyla hedefledi.” Dedi.
Etkinlik, UNC6395 (aka Grub1) olarak adlandırılan bir tehdit kümesine atfedildi ve Google, Hacker News’e 700’den fazla kuruluşun potansiyel olarak etkilenmiş olabileceğini söyledi.
Başlangıçta pozlamanın Salesloft’un Salesforce ile entegrasyonu ile sınırlı olduğu iddia edilse de, o zamandan beri Drift ile entegre olan herhangi bir platformun potansiyel olarak tehlikeye atıldığı ortaya çıktı. Tehdit aktörlerinin Salesloft Drift’e ilk erişimi nasıl kazandıkları tam olarak bu aşamada bilinmemektedir.
Olay ayrıca Salesforce’u, Salesforce ile tüm Salesloft entegrasyonlarını ihtiyati bir önlem olarak geçici olarak devre dışı bırakmaya teşvik etti. İhlalden etkilendiğini doğrulayan bazı işletmeler aşağıdaki gibidir –
Cloudflare, “Bu olayın izole bir olay olmadığına, tehdit oyuncusunun gelecekteki saldırılar için kimlik bilgilerini ve müşteri bilgilerini hasat etmeyi amaçladığına inanıyoruz.” Dedi.
Diyerek şöyle devam etti: “Bu sürüklenme uzlaşmasından yüzlerce kuruluşun etkilendiği göz önüne alındığında, tehdit oyuncusunun bu bilgileri etkilenen kuruluşlardaki müşterilere yönelik hedeflenen saldırılar başlatmak için kullanacağından şüpheleniyoruz.”