Hackerlar, OAuth Jetons’ı çalmak ve Salesforce verilerine erişmek için Salesloft Drift uygulamasından yararlandı ve büyük teknoloji firmalarında müşteri ayrıntılarını ortaya çıkardı.
Büyük ölçekli bir siber saldırıda, bir hackleme grubu, önde gelen siber güvenlik ve Palo Alto Networks, Zscaler ve Pagerduty gibi teknoloji firmaları da dahil olmak üzere çok sayıda şirketten hassas müşteri bilgilerini çaldı.
Saldırı, bu şirketlerin ana sistemlerini doğrudan hedeflemedi, bunun yerine Salesloft Drift adlı yaygın olarak kullanılan üçüncü taraf satış ve pazarlama uygulamasında bir güvenlik açığından yararlandı.
Tedarik zinciri ihlali
UNC6395 olarak izlenen bir grup tarafından yapılan siber saldırı, klasik bir “tedarik zinciri” ihlaliydi. Şirketler tarafından satış iş akışlarını otomatikleştirmek için kullanılan bir “hizmet olarak pazarlama yazılımı” olan Salesloft Drift’i hedefledi. Saldırganlar, uygulamanın diğer hizmetlere bağlanmasına izin veren OAuth tokenleri olarak bilinen dijital anahtarları çaldı. Bu çalıntı anahtarları kullanarak, bilgisayar korsanları yüzlerce şirketin Salesforce hesaplarına yetkisiz erişim elde etti.
Pagerduty’nin kamu raporu, şirketin ilk olarak 20 Ağustos 2025’te konuyla ilgili olarak bilgilendirildiğini belirten etkinliğin bir zaman çizelgesini sunuyor. Üç gün sonra, 23 Ağustos’ta saldırganların Salesforce verilerine potansiyel olarak eriştiğini öğrendiler. Hem Pagerduty hem de Zscaler’ın maruz kalan bilgileri, adlar, e -posta adresleri, iş başlıkları ve telefon numaraları gibi iş iletişim bilgilerini içeriyordu.
Zscaler’ın yanıtı
Resmi bloglarında Zscaler, ihlalin “Salesforce ile sınırlı” olduğunu ve temel ürünlerini, hizmetlerini veya altyapısını etkilemediğini doğruladı. Şirket ayrıca, “üçüncü taraf risk yönetimi soruşturması” başlatmak ve destek çağrıları için “müşteri kimlik doğrulama protokolünü” güçlendirmek de dahil olmak üzere yanıt vermek için gereken güçlü önlemleri detaylandırdı. Zscaler, müşterilere potansiyel kimlik avı girişimleri için “müşterilerin kötüye kullanılmadığına dair hiçbir kanıt bulunmadığını, müşterilerin artan uyanıklığı korumasını öneririz”.
Pagerduty’nin yanıtı
Pagerduty, bu noktaları kendi ifadesinde yineledi ve “Pagerduty platformuna veya Salesforce’un ötesindeki herhangi bir dahili sistemin veya kaynakların gerçekleşmiş olabileceğine dair herhangi bir gösterge görmediğini” doğruladı. Müşterileri güvence altına almak için Pagerduty, “bir şifre veya diğer güvenli detaylar istemek için asla kimseyle iletişim kurmayacağını” da ekledi.
Palo Alto Networks’in Yanıtı
Palo Alto Networks, Salesforce örneklerinden birinin Salesloft ve Drift ile üçüncü taraf bir entegrasyondan ödün verildiğini doğruladı. Şirket entegrasyonu hemen devre dışı bıraktı, araştırmak için Salesforce ve Salesloft ile birlikte çalıştı ve etkilenen OAuth jetonlarını iptal etti.
İfadesine göre, olay, güvenlik ürünleri veya müşteri ağları üzerinde hiçbir etkisi olmaksızın iş iletişim bilgileri, satış hesabı kayıtları ve vaka meta verileriyle sınırlıydı. Palo Alto Networks ayrıca, bilgileri ortaya çıkmış olabilecek müşterileri de bilgilendirdi ve gelecekte benzer sorunları önlemek için dahili önlemleri gözden geçirdiğini söyledi.
Bu saldırı, Salesforce veritabanlarını hedefleyen daha geniş bir ihlal dalgasının parçası gibi görünüyor. Kredi raporlama ajansı TransUnion kısa bir süre önce, muhtemelen Salesforce ile ilgili üçüncü taraf bir başvuruda yapılan bir siber saldırı, sosyal güvenlik numaraları da dahil olmak üzere 4,4 milyon ABD tüketicisinin kişisel bilgilerini ortaya çıkardığını açıkladı.
Bu olaylar, üçüncü taraf uygulamalara güvenme riskini göstermektedir. Google’ın Tehdit İstihbarat Grubu da dahil olmak üzere güvenlik firmaları, bu yaygın ve son derece organize veri hırsızlığının tam kapsamını araştırmaya devam ediyor.