Palo Alto Networks ve Zscaler, Salesloft Drift üçüncü taraf AI sohbet aracı platformu aracılığıyla Salesforce örneklerini hedefleyen yaygın bir kimlik doğrulama jeton hırsızlığı kampanyası tarafından vurulan kuruluşlar arasında.
Salesloft olayı 20 Ağustos’ta bildirdi ve “Drift ve Salesforce arasındaki proaktif olarak iptal edildiğini” söyledi ve Drift yöneticilerden Salesforce bağlantılarını yeniden kimin yetersiz kıldığını istedi.
Sonraki bir güncellemede Salesloft, 8 Ağustos ve 18 Ağustos arasında, “bir tehdit oyuncusu, müşterilerimizin Salesforce örneklerinden verileri işletmek için OAuth kimlik bilgilerini kullandı” dedi.
Google tarafından UNC6395 olarak tanımlanan tehdit oyuncusu, kimlik bilgilerini çalmaya odaklandı ve “AWS erişim anahtarları, şifreler ve kar tanesi ile ilgili erişim belirteçleri gibi hassas bilgileri” hedefliyor.
Olay, sürüklenme-Salesforce entegrasyonunu kullanan müşterilerle sınırlıydı ve durdurulmuş gibi görünüyor. Salesloft, API Key aracılığıyla üçüncü taraf uygulamalarına kendi sürüklenme bağlantılarını yöneten Drift müşterilerinin mevcut anahtarı iptal etmesini ve yeni bir API anahtarı kullanarak yeniden bağlanmasını önerdi. OAuth uygulamaları doğrudan Salesloft tarafından ele alınmaktadır.
Salesloft olayı, son aylarda yazılım tedarik zinciri saldırılarının iki katına çıktığını tespit eden yeni Cyble verilerinin piyasaya sürülmesiyle çakışıyor.
Palo Alto Networks, Salesloft kurbanları arasında zscaler
Koalisyon ile birlikte olayı ele almak için uğraşan Google Tehdit İstihbaratı’na göre, UNC6395, Salesloft Drift ile ilişkili tehlikeye atılmış OAuth jetonlarını kullandı ve “çok sayıda kurumsal Salesforce örneğinden sistematik olarak büyük miktarda veri ihraç etti”.
Grup daha sonra AWS erişim anahtarları, şifreler ve kar tanesi ile ilgili erişim belirteçleri gibi “kurban ortamlarından ödün vermek için kullanılabilecek sırları aramak için” verileri aradı.
Google, olayın ayrıca Salesloft Drift ile entegre edilecek şekilde yapılandırılmış “çok az sayıda Google çalışma alanı hesabını” etkilediğini söyledi.
Hem Google hem de Salesloft, olayın çekirdek Salesforce platformundaki bir güvenlik açığından kaynaklanmadığını belirtti. Salesforce, daha fazla soruşturmayı bekleyen Salesforce AppExchange’den sürüklenme uygulamasını kaldırdı.
Bugünkü bir duyuruda, Palo Alto Networks bunun tedarik zinciri saldırısından etkilenen “yüzlerce kuruluştan” biri olduğunu söyledi.
Palo Alto, “Araştırmamız olayın CRM platformumuza izole edildiğini doğruladı; hiçbir Palo Alto Networks ürünleri veya hizmetleri etkilenmedi ve güvenli ve tamamen operasyonel kalıyorlar” dedi. “İlgili veriler çoğunlukla iş iletişim bilgileri, dahili satış hesabı ve müşterilerimizle ilgili temel vaka verilerini içeriyor. Bu olayı ciddiye alıyoruz ve potansiyel olarak daha hassas verilere sahip sınırlı sayıda müşteriye ulaşıyoruz.”
Zscaler, 30 Ağustos’ta, kimlik bilgilerinin iletişim ve lisanslama bilgileri gibi “bazı Zscaler Salesforce bilgilerine sınırlı erişime izin verdiğini” belirterek saldırıdan etkilendiğini açıkladı.
Şirket, “Kapsamlı soruşturmadan sonra Zscaler şu anda bu bilgilerin kötüye kullanılmasını önerecek hiçbir kanıt bulamadı” dedi.
Salesloft olayı artan tedarik zinciri saldırılarının ortasında geliyor
Cyble, bu hafta Tedarik Zinciri saldırılarının Nisan 2025’ten bu yana iki katına çıktığını ve ayda ortalama 26 saldırı, 2024’ten Mart 2025’ten Mart 2025’e kadar oranlarının iki katına çıktığını bildirdi. Sıfır günlerin kitlesel sömürülmesi ve eşleştirilmemiş güvenlik açıklarının tedarik zinciri saldırılarındaki artışın arkasındaki nedenlerden biri olduğunu söyledi.
Bir fidye yazılımı grubu yakın zamanda bir saldırının, bir şirketin 41.000 müşterisi hakkında bu tür saldırıların potansiyel erişimini gösterdiğini iddia etti.
Bu tür saldırılar ezici bir şekilde vururken ve BT hizmetlerine hizmet ederken, Cyble bu yıl tedarik zinciri saldırıları tarafından vurulan 20 endüstriyi belgeledi.
Cyble, kuruluşların kendilerini güvenlik denetimleri, üçüncü taraf riskinin değerlendirilmesi ve ağ mikrosegemasyonu ve saldırıların derecesini sınırlayabilecek güçlü erişim kontrolleri gibi uygulamalar da dahil olmak üzere tedarik zinciri saldırılarından korumak için bir dizi adım önerdi.