Saldırganların Salesforce verilerine erişmek için Salesloft Drift uygulamasını kullandıkları son veri ihlallerini duydunuz mu? Şimdi büyük bir güncelleme var. Şirket, sürüklenme başvurusunu içeren son güvenlik olayı hakkında yeni ayrıntılar sağladı, ihlalin içerdiğini ve müşteri korumalarının mevcut olduğunu doğruladı.
Şirket, uzlaşmaya ilişkin soruşturma yapmak için 28 Ağustos’ta Google’ın sahip olduğu siber güvenlik firması Mandiant’ı getirdi. Katılımın kapsamı, temel nedenin belirlenmesi, hasarın değerlendirilmesi ve Salesloft’un temel ortamının güvenli kaldığını doğrulamak yer aldı.
Github erişim ihlalden önce geldi
Salesloft’un Mantiant’ın bugün yayınlanan bulgularını detaylandıran danışmanlığı, saldırganın Mart ve Haziran 2025 arasında bir Salesloft Github hesabına erişim sağladığını gösteriyor. Bu dönemde, birkaç özel depodan içerik indirdiler, bir konuk kullanıcı eklediler ve yeni iş akışları oluşturdular.
Ayrıca, hem Salesloft hem de Drift ortamlarında keşif faaliyeti de tespit edildi. Bununla birlikte, müfettişler saldırganın Salesloft ortamında sınırlı soruşturmanın ötesine geçtiğine dair hiçbir kanıt bulamadılar.
Saldırgan nihayetinde odaklanmayı Drift’in AWS ortamına kaydırdı ve burada Drift müşterilerinden OAuth jetonları elde ettiler. Bu jetonlar daha sonra entegre uygulamalar aracılığıyla müşteri verilerine erişmek için istismar edildi.
Muhafaza ve iyileştirme
Salesloft, olayı içermek için hızlı bir şekilde hareket ettiğini söylüyor. Anahtar adımlar dahil:
- Etkilenen tüm kimlik bilgilerini Drift içinde döndürür.
- Salesloft’un kendi ortamındaki kimlik bilgilerini önlem olarak döndürür.
- Drift’in uygulamasını ve altyapısını izole etmek, ardından hizmeti çevrimdışı almak.
- Saldırıda gözlenen tekniklere karşı çevresini sertleştirmek.
- Salesloft altyapısında proaktif tehdit avı yapmak, ek uzlaşma belirtisi göstermedi.
Mantiant ayrıca, Saldırganın erişimini sınırlamaya yardımcı olan bir faktör olan Drift ve Salesloft platformlarının teknik olarak bölümlere ayrıldığını doğruladı.
Endüstri etkisi
İhlal sadece sürüklenme ile sınırlı değildir. Google’ın Tehdit İstihbarat Grubu ve Mantiant’a göre, saldırı Ağustos ayında birden fazla şirkette Salesforce entegrasyonlarını hedefleyen koordineli bir kampanyanın parçasıydı.
Hackread.com’un bildirdiği gibi, Zscaler, Palo Alto Networks, Pagerduty, Cloudflare, TransUnion, Chanal, Google, Çiftçi Sigortası ve diğerleri gibi kuruluşlar, Salesforce ortamlarına bağlı verilerin tehlikeye atılmış Drift Oauth Tokens aracılığıyla erişildiğini doğruladı. Çoğu durumda, maruz kalan bilgiler adlar, e -posta adresleri, iş başlıkları ve telefon numaraları gibi işletme iletişim bilgilerinden oluşmaktadır.
Atıf soruşturma altında kalırken, Google tehdit oyuncusu Grubu UNC6395’i kampanyaya bağladı. Aynı zamanda, doğrulanmamış olmasına rağmen, “dağınık Lapsus $ avcıları” olarak bilinen ayrı bir grup, dağınık örümcek, Lapsu $ ve Shinyhunters’ın taktiklerini ve markasını birleştiren belirgin bir koalisyon, bu araştırmacılar tarafından onaylanmamış olsa da, sorumluluk iddia etti.
Mevcut Durum
İçeren sürüklenme ihlali ile Mantiant’ın rolü, bulguları doğrulamak ve her iki ortamın bütünlüğünü sağlamak için adli kalite güvencesine geçmiştir. Öte yandan Salesloft, Drift’in doğrudan etkilenmesine rağmen, temel uygulama ortamının keşif faaliyetlerinin ötesinde ihlal edilmediğini vurguladı.