Salesforce, bu yıl şirketin müşterilerini etkileyen devasa veri hırsızlığı saldırıları dalgasının ardındaki tehdit aktörleriyle pazarlık yapmayacağını veya fidye ödemeyeceğini doğruladı.
İlk olarak Bloomberg tarafından bildirildiği üzere Salesforce, Salı günü müşterilere fidye ödemeyeceklerini belirten bir e-posta gönderdi ve “güvenilir tehdit istihbaratının”, tehdit aktörlerinin çalınan verileri sızdırmayı planladıklarına işaret ettiği konusunda uyardı.
Salesforce ayrıca BleepingComputer’a “Salesforce’un herhangi bir gasp talebiyle meşgul olmayacağını, müzakere etmeyeceğini veya ödeme yapmayacağını doğrulayabilirim” dedi.
Bu açıklama, verileri Salesforce’tan çalınan 39 şirkete şantaj yapmaya çalışan “Dağınık Lapsus$ Avcıları” olarak bilinen tehdit aktörlerinin bir veri sızıntısı sitesi açmasının ardından geldi. Web sitesi ihlalforumlarında bulunuyordu[.]hn alan adı, çalınan verileri satması ve sızdırmasıyla bilinen bir bilgisayar korsanlığı forumu olan kötü şöhretli BreachForums web sitesinden adını almıştır.
Veri sızıntısı sitesinde gasp edilen şirketler arasında FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, Kering, McDonald’s, Walgreens, Instacart, Cartier, Adidas, Sake Fifth Avenue, Air France & KLM, Transunion, HBO MAX, UPS, Chanel ve IKEA gibi tanınmış markalar ve kuruluşlar yer alıyordu.
Tehdit aktörleri toplamda yaklaşık 1 milyar veri kaydını çaldıklarını iddia etti. Bu kayıtlar, şantaj talebinin bireysel şirketler tarafından ödenmesi veya Salesforce’tan sitede listelenen tüm etkilenen müşterileri kapsayacak tek bir ödeme olarak ödenmesi durumunda kamuya açıklanacaktı.
Kaynak: BleepingComputer
Bu veriler, 2025’te gerçekleşen iki ayrı kampanyada Salesforce örneklerinden çalındı.
İlk veri hırsızlığı kampanyası 2024’ün sonunda, tehdit aktörlerinin, çalışanları kötü amaçlı bir OAuth uygulamasını şirketlerinin Salesforce örneğine bağlamaları için kandırmak amacıyla BT destek personelinin kimliğine bürünerek sosyal mühendislik saldırıları düzenlemesiyle başladı.
Tehdit aktörleri bağlantı kurulduktan sonra bağlantıyı veritabanlarını indirip çalmak için kullandılar ve bu veriler daha sonra şirkete e-posta yoluyla şantaj yapmak için kullanıldı.
Bu sosyal mühendislik saldırıları Google, Cisco, Qantas, Adidas, Allianz Life, Farmers Insurance, Workday, Kering ve Dior, Louis Vuitton ve Tiffany & Co gibi LVMH yan kuruluşlarını etkiledi.
İkinci bir Salesforce veri hırsızlığı kampanyası, tehdit aktörlerinin çalıntı SalesLoft Drift OAuth tokenlerini müşterilerin CRM ortamlarına yönelmek ve verilere sızmak için kullandığı Ağustos 2025’in başlarında başladı.
Salesloft veri hırsızlığı saldırıları öncelikle kimlik bilgilerini, API belirteçlerini, kimlik doğrulama belirteçlerini ve saldırganların şirketin altyapısını ve bulut hizmetlerini ihlal etmesini sağlayacak diğer hassas bilgileri taramak için destek bileti verilerinin çalınmasına odaklandı.
Salesloft saldırılarının arkasındaki tehdit aktörlerinden biri olan ShinyHunters, BleepingComputer’a, bu kampanya sırasında 760’ın üzerinde şirkete ait yaklaşık 1,5 milyar veri kaydını çaldıklarını söyledi.
Google, Cloudflare, Zscaler, Tenable, CyberArk, Elastic, BeyondTrust, Proofpoint, JFrog, Nutanix, Qualys, Rubrik, Cato Networks, Palo Alto Networks ve çok daha fazlası dahil olmak üzere birçok şirket Salesloft tedarik zinciri saldırısından etkilendiklerini zaten doğruladı.
Yakın zamanda başlatılan veri sızıntısı sitesi, esas olarak orijinal sosyal mühendislik saldırılarında müşterileri şantaj yapmak için kullanıldı; tehdit aktörleri, 10 Ekim’den sonra Salesloft saldırılarından etkilenenleri kamuya açık bir şekilde şantaj yapmaya başlayacaklarını belirtti.
Ancak veri sızıntısı sitesi artık kapatıldı ve alan adı artık surina.ns.cloudflare.com ve hans.ns.cloudflare.com ad sunucularını kullanıyor; her ikisi de geçmişte FBI tarafından alan adlarına el konulurken kullanılmıştı.
BleepingComputer, alan adını ele geçirip geçirmedikleri konusunda FBI ile temasa geçti ancak şu anda bir yanıt alamadı.
Katılın İhlal ve Saldırı Simülasyon Zirvesi ve deneyimleyin güvenlik doğrulamanın geleceği. En iyi uzmanlardan bilgi alın ve nasıl olduğunu görün Yapay zeka destekli BAS ihlal ve saldırı simülasyonunu dönüştürüyor.
Güvenlik stratejinizin geleceğini şekillendirecek etkinliği kaçırmayın