Kimlik ve Erişim Yönetimi, Güvenlik Operasyonları
Salesloft, bilgisayar korsanlarının GitHub deposuna girdiğini söylüyor
Greg Sirico •
8 Eylül 2025
Siber güvenlik firmaları ve Qualys, genellikle Salesforce yazılımına entegre edilmiş üçüncü taraf bir araçtan hacker kimlik doğrulama jetonlarından kaynaklanan devam eden bir saldırı dalgasına düşen en son kişilerdir.
Ayrıca bakınız: Kimlik ve Erişim Yönetimi (IAM) Pazar Rehberi 2025
Firmalar, sırasıyla 3 Eylül ve 6 Eylül’deki blog yazılarında OAuth erişim belirtileri Salesloft’un Salesloft’un sürüklenmesi yapay zeka sohbet temsilcisinden kaldıran tedarik zinciri saldırısına maruz kaldıklarını açıkladılar.
İki firma, siber güvenlik firmaları Zscaler, Palo Alto Networks, Cyberark, Cloudflare, Elastik ve Rubrik de dahil olmak üzere büyüyen bir şirket listesine katılır. Salesloft Drift Saldırıları Maruz kalan Zscaler Müşteri Verileri).
Salesloft Cumartesi günü, Mart ayından Haziran ayına kadar korsanların GitHub hesabına eriştiğini ve daha sonra OAuth tokenlerini çaldıkları Drift Amazon Web Hizmetleri ortamına erişebildiğini açıkladı.
Salesloft tarafından ihlalleri araştırmak için işe alınan Google Mandiant, hack’i UNC6395 olarak izlediği bir gruba bağlar. Bu grubu bilinen herhangi bir siber suç grubuna veya ulus-devlete bağlamamıştır. Shinyhunters gasp grubu başlangıçta bu ifadeyi geri çekmeden önce saldırıların arkasında olduklarını iddia etti. Bir Pazar LinkedIn Post’ta, Hudson Rock kurucu ortağı Alon Gal, depoların içindeki jetonları aramak için bir GitHub hesabına girme tekniğinin “2020’den (hatta daha önce) kullanılan bir Shinyhunters/Lapsus $/dağınık örümcek yöntemi olduğunu ve açıkça çalıştığını söyledi.
Team Cymru’da kıdemli bir tehdit istihbarat danışmanı olan Will Thomas, saldırganlar tarafından TOR anonimlik ağının bir parçası olarak Drift Entegrasyonlarından gelen bilgileri sifonlamak için kullanılan İnternet protokolü adreslerinin çoğunu belirledi. “Toplu indirme dosyaları veya yönetim eylemlerini gerçekleştirmek için kolayca tanımlanabilir TOR çıkış düğümlerine izin vermek, çok zayıf veya hiçbir kontrolü gösteriyor” dedi.
Tenable, 3 Eylül’de, şirketin Salesforce sunucusunda depolanan bir veritabanı olan müşteri bilgilerine sınırsız erişim sağlayan yetkisiz bir kullanıcı tespit edildi. Orada depolanan bilgiler, bir destek isteği açarken adlandırılabilir müşteriler tarafından yazılan adlar, işletme e -posta adresleri, telefon numaraları, konum referansları, konu satırları ve ilk vaka açıklamaları içerir.
Qualys, daha önce çalınan OAuth Token kimlik bilgilerinin, kimliği belirsiz tehdit aktörlerinin Qualys’in Salesloft Drift’inde bulunan bilgileri içeren Salesforce bilgilerine sınırlı erişim elde etmesine izin verdiğini söyledi.
Her şirket, ürün ve hizmetlerinin etkilenmemiş ve tamamen faaliyete geçtiğini söyledi. Ayrıca, Salesloft Drift uygulamasını devre dışı bıraktıklarını ve ihlal sonrası sistem entegrasyonlarını iptal ettiklerini söylediler.
Bilgi Güvenliği Medya Grubu’nun İskoçya’daki Mathew Schwartz ve Kuzey Virginia’daki David Perera tarafından raporlanarak.