3. Taraf Risk Yönetimi, Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Salesloft İhlalinin Arkasındaki Suçlular, Salesforce Kullanan Müşterileri Hedeflemeye Devam Ediyor
Mathew J. Schwartz (euroinfosec) •
9 Ekim 2025
Müşteri ilişkileri yönetimi yazılımı devi Salesforce, müşterilerine, verilerini tehlikeye atan siber suçlulardan şantaj parası almayacağını bildirdi.
Ayrıca bakınız: Üçüncü Taraf Risk Yönetiminde Ortaya Çıkan Tehditlerin Takibi ve Azaltılması
Kendisine Scattered Lapsus$ Hunters adını veren fidye yazılımı ve veri gaspı karması, Cuma günü üç düzine kurbanın listelendiği bir darkweb veri sızıntısı sitesi başlattı; grubun 760 şirketten 1,5 milyar kayıt çaldığını söylediği saldırının kısmi sonuçları. Suçlular, kurbanlardan ve Salesforce’tan, çalınan verilerin sızdırılmaması sözü karşılığında kripto para birimi talep ediyor. Cuma günü için son tarih belirlediler.
Veri sızıntısı sitesi, “Bir sonraki manşet olmayın, kendinizi ve müşterilerinizi koruyun, doğru kararı verin ve bize ulaşın” diye teşvik ediyor.
Salesforce sözcüsü şantajcıların taleplerine boyun eğmeyeceğini söyledi. Sözcü, Information Security Media Group’a “Salesforce’un herhangi bir gasp talebiyle meşgul olmayacağını, pazarlık yapmayacağını veya ödeme yapmayacağını doğrulayabilirim” dedi.
Şirketin açıklaması, Bloomberg’in ilk olarak Salesforce’un salı günü etkilenen müşterilerle temasa geçtiğini ve bilgisayar korsanlarının ağustos ayında bu yazılımı Salesforce örnekleriyle entegre eden Salesloft Drift yapay zeka chatbot kullanıcılarından çaldıkları verileri sızdırmayı planladıklarına dair “güvenilir tehdit istihbaratı” konusunda uyardığını bildirmesinin ardından geldi.
Veri sızıntısı sitesi, bilgisayar korsanlarının verilerinin çalındığını iddia ettiği Salesloft Drift kullanan 760 kurbandan 39’unu listeliyor ve bunların 1,5 milyar çalınan kaydın 1 milyarını oluşturduğunu söylüyor. Kurbanlar arasında Cisco, Disney, KFC, Ikea, Marriott, McDonald’s, Walgreens’in yanı sıra bakkal devi Albertsons ve perakendeci Saks Fifth Avenue yer alıyor.
Güvenlik uzmanları ve kolluk kuvvetleri, siber suçlardan kaynaklanan şantaj taleplerinin karşılanması konusunda tavsiyelerde bulunuyor. Gaspçılara boyun eğmek, onların bilgisayar korsanlığını cesaretlendirir, yeni gelenlerin ilgisini çeker ve suçlulara daha yıkıcı saldırıları araştırmaları ve geliştirmeleri için fon sağlar.
Baskı Altında
Veri gaspçılarının tipik bir örneği olduğu gibi, Scattered Lapsus$ Hunters mümkün olan her yerde baskı uygulamaya çalışır. Bu, müşterilerle doğrudan iletişime geçmeyi, bir dizi Telegram kanalında dikkat çekici mesajlar yayınlamayı ve ödeme talep etmeyi içerirken, geri çekilmeden önce ne kadar yasa dışı gelir elde etmek istediğini belirtmekten gözle görülür şekilde kaçındı.
Çalınan 1,5 milyar kaydın tamamını, “2FA veya başka herhangi bir OAuth Uygulaması güvenliğini uygulamadığınız için 100’den fazla diğer isimsiz örnekten” çaldığı verileri serbest bırakmakla ve verileri geniş çapta yaymakla tehdit ediliyor.
Sızıntı yapan sitenin iddiasına göre, “Etkilenen şirketlerin tam listesinin yanı sıra ihlale ilişkin bilgiler ve etkilenen her şirketin veri örnekleri” de dahil olmak üzere, “Size karşı hukuki ve ticari davalar yürüten birçok hukuk firmasına açıkça uyacağız.”
Saldırganların çaldığını iddia ettikleri verilere sahip olup olmadığı ve bu verilerden herhangi birinin hassas nitelikte bilgi içerip içermediği belirsizliğini koruyor. Fidye yazılımı grupları, çaldıkları verilerin değerini sürekli olarak abartıyor ve yalan söylüyor.
Salesforce daha önce 2 Ekim’de müşterileri, kendilerine karşı geçmiş veya “kanıtlanmamış” olaylar içeren “tehdit aktörlerinin son gasp girişimlerinden” haberdar olduğu konusunda uyarmış ve onları sosyal mühendislik ve kimlik avı kampanyalarına karşı dikkatli olmaya çağırmıştı.
Şirket, “Şu anda Salesforce platformunun tehlikeye girdiğine dair bir belirti yok ve bu faaliyetin teknolojimizdeki bilinen herhangi bir güvenlik açığıyla ilgisi yok” dedi. “Bu durumların ne kadar endişe verici olabileceğini anlıyoruz. Müşteri ortamlarını ve verilerini korumak en büyük önceliğimiz olmaya devam ediyor ve güvenlik ekiplerimiz rehberlik ve destek sağlamak için tam olarak çalışıyor.”
FBI Eylül ayı başında, saldırganların UNC6040 ve UNC6395 olarak takip edilen iki tehdit kümesine bağlı olduğunu ve verileri çalmak amacıyla Salesloft Drift Email’in AI sohbet robotunu Salesforce örnekleriyle entegre etmek için çalıntı OAuth tokenlarını kullandığını söyledi.
Google’ın tehdit istihbaratı grubu daha önce saldırıların 8 Ağustos gibi erken bir tarihte başladığını ve en az 18 Ağustos’a kadar devam ettiğini, yaklaşık 700 Salesloft müşterisinin yanı sıra Salesloft’u diğer uygulamalarla entegre eden bilinmeyen sayıda kuruluşun da mağdur olduğunu bildirmişti.
Saldırganlar, ihlalden elde edilen istihbaratı bir basamak olarak kullanıyor olabilir. Google tehdit araştırmacılarının bildirdiğine göre, “Veriler sızdırıldıktan sonra aktör, kurban ortamlarını tehlikeye atmak için potansiyel olarak kullanılabilecek sırları aramak üzere veriler arasında arama yaptı.” Bu kimlik bilgileri arasında “Amazon Web Hizmetleri (AWS) erişim anahtarları (AKIA), şifreler ve Snowflake ile ilgili erişim belirteçleri” yer alıyordu.
Salesloft, ihlali araştırmak için Google Cloud’un Mandiant olay müdahale grubunu görevlendirdikten sonra 20 Ağustos’ta Salesforce ile birlikte çalışarak Drift OAuth belirteçlerine tüm erişimi iptal etti. Bu, Drift’i Salesforce ile entegre eden kuruluşların bu entegrasyonu yeniden doğrulamasını gerektirecek. Salesforce ayrıca Drift’i AppExchange bulut pazarından geçici olarak kaldırdı.
Salesforce, Bloomberg’e bir duraklamanın ardından Drift uygulaması dışında SalesLoft teknolojileriyle “entegrasyonların yeniden etkinleştirildiğini” söyledi.
Salesloft, bu teknolojiyi daha fazla hedeflemeye karşı kilitleme hamleleri, hizmetin ne zaman devam edeceğini tahmin ettiği veya müşterilerin ShinyHunters saldırısına nasıl kurban gidebileceği hakkında yorum talebine hemen yanıt vermedi.