Bir Salesloft Drift Cyberattack, büyüyen bir yazılım tedarik zinciri olayında müşteri verilerini ve kimlik bilgilerini ortaya çıkararak çok sayıda kuruluşun Salesforce ortamlarından ödün verdi. Drift Chatbot’un Salesforce ile entegrasyonunda kullanılan OAuth jetonlarının uzlaşmasıyla tetiklenen Salesloft Drift Güvenlik ihlali, siber güvenlik, bulut altyapısı, DevOps ve Saas Industries’deki şirketleri etkiledi.
8-18 Ağustos 2025 arasında meydana gelen Salesloft Drift Cybertack, tehdit aktörlerinin çalıntı yetkilendirme belirteçlerini kullanarak Salesforce örneklerinden hassas bilgileri çıkarmalarını sağladı. Google’ın tehdit istihbarat ekibi, saldırganı, kimlik bilgisi hasat ve meta veri keşfi yapmak için Salesloft Drift entegrasyonunu sistematik olarak kullanan bir tehdit grubu olan Grub1 olarak tanımladı.
Cloudflare: ‘Satıcı gözetiminde başarısızlık’
Cloudflare en çok etkilenenler arasındaydı. 12-17 Ağustos arasında saldırgan, Drift uygulamasına verilen tehlikeye atılmış bir OAuth jetonu kullanarak Cloudflare’nin Salesforce vaka verilerine erişti. Şirketin soruşturmasına göre, saldırgan meta verileri hasat etti, dahili Salesforce nesnelerine karşı sorgular yayınladı ve sonunda Salesforce’un Toplu API 2.0’ı kullanarak FreeForm Müşteri Destek Kılıfı Metnini ekledi.
Cloudflare’nin dahili araçları daha sonra, hepsi o zamandan beri döndürülen 104 açık API jetonunu tanımladı. Şirket, ihlali “üçüncü taraf satıcı gözetiminde bir başarısızlık” olarak kabul etti ve şimdi güvenlik politikalarını üçüncü taraf entegrasyonlar etrafında yeniden değerlendiriyor. Etkilenen müşteriler doğrudan 2 Eylül’e kadar temasa geçildi.
Dynatrace, Cato Networks ve Bugcrowd Etkiledi
Dynatrace, Salesloft Drift ihlalinin sadece pazarlama amacıyla kullanılan Salesforce CRM sistemini etkilediğini bildirdi. Müfettişler, yalnızca sınırlı iş iletişim verilerine erişildiğini doğruladılar. Şirket derhal Drift’i devre dışı bıraktı ve üçüncü taraf adli tıp uzmanlarını içeriyordu. Ne Dynatrace ürünlerinin ne de altyapının etkilenmediğini vurguladı.
Benzer şekilde, Cato Networks derhal sınırlama adımları attı, sürüklenme ile ilgili tüm API erişimini iptal etti ve dahili bir soruşturma başlattı. Erişilen veriler vaka meta verileri ve iletişim bilgileri ile sınırlıydı. Cato’nun tehdidi Intel birimi Cato CTRL, henüz hiçbir işaret ortaya çıkmamış olsa da, potansiyel kötüye kullanım için karanlık web’i izliyor.
BugCrowd, Salesforce ortamına yetkisiz erişimi doğruladı, ancak güvenlik açığı raporları, müşteri verileri veya altyapı üzerinde hiçbir etki bulamadı. Şirket, kapsamı değerlendirmek için Salesforce ve Salesloft ile işbirliği yapıyor.
BeyondTrust ve Zscaler: Proaktif iptal, sistem etkisi yok
BeyondTrust, 22 Ağustos’ta Salesforce tarafından uyarıldı ve OAuth kimlik bilgilerini ve devre dışı bırakma erişimini hemen iptal etti. Bir dahili soruşturma, Salesforce’un ötesinde bir etki bulamadı ve hiçbir müşteri veri kötüye kullanımı tespit edilmedi.
Zscaler ayrıca, iletişim ve lisans bilgileri de dahil olmak üzere Salesforce verilerinin sınırlı olarak maruz kalmasını kabul etti. Şirket, kötüye kullanımın hiçbir göstergesi bulamadı, ancak yakından izlemeye devam ediyor.
Pagerduty ve Jfrog Yanıt
Pagerduty, 20 Ağustos’ta Salesloft’tan Drift Oauth akışında bir uzlaşmayı doğrulayan resmi bir uyarı aldı. Müfettişler API anahtarları içeren birkaç Salesforce vakası belirlediler. Bu anahtarlar iptal edildi ve etkilenen müşteriler doğrudan bilgilendirildi. Pagerduty, tüm müşterilere Salesforce destek durumları aracılığıyla daha önce paylaşılan kimlik bilgilerini döndürmelerini tavsiye etti.
JFrog 23 Ağustos’ta potansiyel yetkisiz erişim bildirdi. Hiçbir yanlış kullanım veya daha geniş uzlaşma bulunmadı, ancak müşterilere paylaşılan kimlik bilgilerini önlem olarak döndürmeleri tavsiye edildi.
Nutanix ve Elastik: Minimal maruz kalma
Nutanix, konu satırları ve açıklamalar gibi belirli vaka meta verilerine erişilmediğini, ancak dosya eki veya hassas sistem verilerinin dahil olmadığını doğruladı. Elastik ayrıca, operasyonel ortamları üzerinde bilinen bir kötüye kullanım veya etki olmadan Salesforce’da depolanan iş iletişim bilgilerine sınırlı erişim bildirmiştir.
Grub1’in saldırı zinciri: hassasiyet ve kalıcılık
Cloudflare’nin ayrıntılı adli tıp, saldırganın metodolojisini vurguladı:
- 9 Ağustos: Grub1, Salesforce aracılığıyla bir API jetonunu doğrulamaya çalıştı.
- 12-14 Ağustos: Yetkisiz erişim başladı. Saldırgan Salesforce şemalarını numaralandırdı ve veri yapılarını araştırdı.
- 17 Ağustos: Yeni altyapı kullanarak GRUB1, Salesforce Bulk API 2.0 aracılığıyla bir veri açığa vurma işi yürüttü.
- 20 Ağustos: Salesloft tüm sürüklenme oauth kimlik bilgilerini iptal etti; Cloudflare henüz resmi bir uyarı almamıştı.
- 23-25 Ağustos: Salesforce ve Salesloft, etkilenen kuruluşlarda kitlesel iptalleri ve dahili sınırlamayı tetikleyerek müşterileri resmi olarak bilgilendirdi.
Tedarik Zinciri Saldırı Peyzajı Yoğunlaşır
Salesloft Drift Güvenlik ihlali, artan tedarik zinciri saldırıları tehdidini örneklendiriyor. Cyble’a göre, tedarik zinciri saldırıları oranı Nisan 2025’ten bu yana iki katına çıktı ve şu anda ayda ortalama 26 olay. Bu saldırılar, genellikle iç güvenlik kontrollerini atlayarak üçüncü taraf entegrasyonlara verilen güveni kullanır.
Cyble, sadece 2025’te en az 20 endüstrinin etkilendiğini ve bir fidye yazılımı grubunun yakın zamanda ayrı bir tedarik zinciri olayından 41.000 müşteri hakkında verileri verdiğini iddia etti.
Salesloft Drift İhlali
Salesloft Drift Siber Attack, OAuth Güvenliği ve Üçüncü Taraf Risk Yönetimi’nde kritik kusurları vurgular:
- OAuth jetonları sık sık döndürülmeli ve sıkıca kapsamlanmalıdır.
- Üçüncü taraf uygulama erişimi kesinlikle sınırlı ve sürekli denetlenmelidir.
- Kuruluşlar, görünürlüğü entegre platformlara merkezileştirmeli ve en az ayrıcalık erişimi uygulamalıdır.
- Hızlı tespit ve iptal süreçleri OAuth ile ilgili tehditler için hayati önem taşır.
Salesforce o zamandan beri Drift’i AppExchange’den kaldırdı ve Google, Drift’in çalışma alanıyla OAuth entegrasyonunu devre dışı bıraktı. Salesloft, müşterileri eski API anahtarlarını iptal etmeye ve yeni kimlik bilgileriyle yeniden taahhüt etmeye çağırdı.