Olay ve İhlal Yanıtı, Güvenlik Operasyonları
‘Yaygın veri hırsızlığı kampanyası’ birçok sürüklenme oauth jetonunu tehlikeye attı, Warn Uzmanları
Mathew J. Schwartz (Euroinfosec) •
2 Eylül 2025
Zero Trust Platform Sağlayıcısı Zscaler, müşterilere hackerların lisans bilgileri ve bazı destek durumlarının ayrıntıları da dahil olmak üzere kullanıcı verilerini çaldıkları konusunda uyarıyor.
Ayrıca bakınız: AI Gap, siber saldırılara karşı mücadele eden savunucuları bırakır
Veri ihlali, hizmet olarak pazarlama yazılım sağlayıcısı Salesloft’un sürüklenmesi yapay zeka sohbet aracısını hedefleyen saldırganları içeren çok daha geniş bir kampanyaya kadar uzanıyor. Bilgisayar korsanları, entegre uygulamalara erişim sağlamak için OAuth erişim belirteçlerini çalıyor. Zscaler dahil olmak üzere birçok kuruluş, iletişim bilgileri de dahil olmak üzere olası satışları izlemek ve yönetmek için Drift satış otomasyon yazılımını Salesforce veritabanlarıyla entegre eder.
İlk raporlar, bu saldırı kampanyasının yalnızca Drift ile entegre olan Salesforce örneklerini etkilediğini öne sürdü. Şimdi, Google’ın Tehdit İstihbarat Grubu, “Yaygın Veri Hırsızlığı Kampanyası” nın Drift e -postasıyla entegre edilmiş diğer tüm yazılım uygulamalarını potansiyel olarak ihlal ettiğini uyarıyor.
Google Tehdit Araştırmacıları Perşembe günü yaptığı açıklamada, “Bu uzlaşmanın kapsamı Salesloft Drift ile Salesforce entegrasyonuna özel değil ve diğer entegrasyonları etkiliyor.” “Artık tüm Salesloft Drift müşterilerine, sürüklenme platformunda depolanan veya sürüklenme platformuna bağlı olan tüm kimlik doğrulama jetonlarını potansiyel olarak tehlikeye atmalarını tavsiye ediyoruz.”
Salesloft, Eloqua, Facebook Analytics, Google Analytics, Marketo, Zapier ve Zoom dahil olmak üzere Salesforce’un yanı sıra 50’den fazla araca entegrasyonlar sunuyor.
Google’ın 700 kuruluşun etkilenmiş olabileceğini öne sürmesine rağmen, ihlal kurbanları henüz acımasızca bir kurban içeriyor.
“Bu kampanyanın bir parçası olarak, yetkisiz aktörler, Zscaler dahil olmak üzere müşterilerinin Salesloft Drift kimlik bilgilerine erişim kazandı.” Dedi. “Devam eden soruşturmamızın bir parçası olarak ayrıntılı bir incelemenin ardından, bu kimlik bilgilerinin bazı Zscaler Salesforce bilgilerine sınırlı erişime izin verdiğini belirledik.”
Maruz kalan bilgiler, adlar, iş e -posta adresleri, iş başlıkları, telefon numaraları, konum ayrıntıları, Zscaler ürünü ve lisans ayrıntıları ve bazı destek durumlarına bağlı metin dahil olmak üzere iş iletişim bilgilerini içerir.
Curry, “Lütfen maruz kalan iletişim bilgilerinden yararlanabilecek potansiyel kimlik avı saldırılarına veya sosyal mühendislik girişimlerine karşı dikkatli olun.” Dedi.
İhlal keşfinin ardından Zscaler, Salesforce verilerine tüm sürüklenme erişimini iptal ettiğini, diğer API erişim belirteçlerini de döndürdüğünü ve “bol miktarda dikkatli bir şekilde” döndürdüğünü ve Salesforce ile yakın çalışarak, Zscaler tarafından kullanılan diğer satıcılara bağlı potansiyel etkiyi daha iyi anlamak da dahil olmak üzere bir soruşturma başlattığını söyledi.
Buna ek olarak, Zscaler’ın müşteri destek ekibi “potansiyel kimlik avı saldırılarına karşı korunmak için müşteri çağrılarına yanıt verirken müşteri kimlik doğrulama protokolünü daha da güçlendirdi” dedi.
İhlalin tam kapsamı henüz kamuya açıklanmadı. Salesloft, Şubat 2024’te Drift’i satın aldı. O zaman, birleşik şirket Cisco, Google, IBM, Shopify, Square ve 3M dahil olmak üzere 5.000’den fazla küresel müşteri saydı. Kaçının DRIFT kullandığı ve diğer uygulamalarla entegre ettikleri açık değil.
Güvenlik uzmanları, OAuth jetonlarının hackerlar için verdikleri kalıcı erişim nedeniyle yüksek değerli bir hedef olduğunu söyledi. Saas güvenlik platformu Appomni, “Kullanıcı oturumlarından farklı olarak, OAuth jetonlarının süresi dolmaz, OAuth ihlali durumunda uzun vadeli pozlama yaratır.” Dedi.
Devam eden soruşturma
20 Ağustos’ta Salesloft, müşterileri “bir güvenlik olayı” nı araştırdığı konusunda uyardı ve Google Cloud’un Maniant Olay Müdahale Grubu ve Saldırı Koalisyonu ile saldırıyı azaltmak ve yanıtlamak için çalıştı.
Aynı gün, Salesforce ile çalışan Salesloft, sürüklenme uygulaması için tüm erişim belirteçlerini derhal iptal ettiğini, bu da bu entegrasyonu yeniden taahhüt etmek için Salesforce ile entegre olan kuruluşları gerektireceğini söyledi. Salesforce ayrıca Drift’i AppExchange Cloud Marketplace’den geçici olarak kaldırdı.
26 Ağustos güncellemesinde Salesloft, entegre Salesforce örneklerinin uzlaşmasının 8 Ağustos’tan en az 18 Ağustos’a kadar sürdüğünü söyledi.
Salesforce, “Üçüncü taraf uygulamalarına kendi sürüklenme bağlantılarını API Key üzerinden yöneten tüm sürüklenme müşterilerinin mevcut anahtarı proaktif olarak iptal etmesini ve bu uygulamalar için yeni bir API anahtarı kullanarak yeniden bağlanmasını öneriyoruz.” Dedi. “Bu sadece API anahtar tabanlı sürüklenme entegrasyonları ile ilgilidir. OAuth uygulamaları doğrudan Salesloft tarafından ele alınmaktadır.”
Perşembe günü, Google’ın Tehdit İstihbarat Grubu, ortaya çıkan yeni bilgilere dayanarak, UNC6395 olarak izlediği tehdit aktörünün saldırılarının, DRIFF ile entegre Salesforce yazılım örneklerinden verileri sadece “daha geniş” olduğunu bildirdi.
Google Tehdit İstihbarat Grubu’ndaki ana tehdit analisti olan Austin Larsen, LinkedIn’e yaptığı bir yazıda, “Şimdi diğer sürüklenme entegrasyonları için OAuth jetonlarının da tehdit oyuncusu tarafından tehlikeye atıldığını tespit ettik.” Dedi.
Mantian CTO Charles Carmakal, LinkedIn’e giden maniant CTO Charles Carmakal, “Organizasyonlar sadece Salesforce değil, herhangi bir platformda sürüklenme entegrasyonları ile şüpheli etkinlik aramalıdır.” Dedi.
Google, saldırganın onları Drift ile entegre eden müşteriler için Google çalışma alanı örneklerini ihlal ettiğini söyledi. Larsen, “Google, etkilenen kullanıcıları, iptal edilen OAuth jetonlarını, sürüklenme e -posta uygulamasına verilen iptal etti ve Google Workspace ve Salesloft Drift arasındaki entegrasyon işlevini daha fazla araştırmayı beklemeye kadar devre dışı bıraktı.” Dedi.
Atıf Net değil
Bazı güvenlik araştırmacıları, saldırıların arkasındaki grubun Çince olabileceğini, görünüşe göre kısmen OAuth jetonlarına odaklanmasına ve Salesforce Nesne Sorgu Dili Sorguları’nı çalıştıran tesise dayandığını öne sürdü.
Shinyhunters gasp grubu başlangıçta bu ifadeyi geri çekmeden önce saldırıların arkasında olduklarını iddia etti. Dağınık Örümcek ile geçen grup, çok sayıda Salesforce kullanan kuruluşu, daha sonra fidye için tuttukları müşteri verilerine erişmeleri için kandırdı.
Henüz Google, UNC6395’i herhangi bir siber suç grubuna veya ulus-devlete atfetmedi. UNC – “Kategorize edilmemiş” – atama, şimdiye kadar, grubun hedeflerinin finansal motivasyona veya gelişmiş kalıcı tehdit faaliyetlerine daha fazla yönelik olup olmadığı bir değerlendirmeyi yansıtmaktadır.