Cloudflare, geçen hafta açıklanan bir tedarik zinciri saldırısının bir parçası olan son zamanlarda Salesloft Drift Breaches dizisinden etkilenen en son şirkettir.
İnternet devi Salı günü, saldırganların 104 Cloudflare API jetonu içeren dahili müşteri vaka yönetimi ve müşteri desteği için kullandığı bir Salesforce örneğine eriştiğini açıkladı.
Cloudflare, 23 Ağustos’ta ihlalden haberdar edildi ve 2 Eylül’de olayın etkilenen müşterilerini uyardı. Müşterilere saldırı hakkında bilgi vermeden önce, bu jetonlara bağlı herhangi bir şüpheli aktiviteyi henüz keşfetmemesine rağmen, ihlal sırasında 104 Cloudflare platformdan verilen jetonların tamamını da döndürdü.
Cloudflare, “Bu bilgilerin çoğu müşteri iletişim bilgileri ve temel destek vaka verileridir, ancak bazı müşteri destek etkileşimleri bir müşterinin yapılandırması hakkında bilgi ortaya çıkarabilir ve erişim belirteçleri gibi hassas bilgiler içerebilir.” Dedi.
“Salesforce destek vaka verilerinin CloudFlare ile destek biletlerinin içeriğini içerdiği göz önüne alındığında, bir müşterinin destek sistemimizde bulutflare ile paylaşmış olabileceği bilgiler – günlükler, jetonlar veya şifreler de dahil olmak üzere, tehlikeye atılmalı ve bu kanal aracılığıyla bizimle paylaşabileceğiniz kimlik bilgilerini döndürmeye teşvik ediyoruz.”
Şirketin soruşturması, tehdit aktörlerinin, 9 Ağustos’taki ilk keşif aşamasından sonra 12 Ağustos ve 17 Ağustos arasında Salesforce vaka nesnelerinde (müşteri destek biletleri ve bunların ilişkili verileri dahil) yer alan metni çaldığını buldu.
Bu püskürtülmüş vaka nesneleri, aşağıdakileri içeren yalnızca metin tabanlı veriler içeriyordu:
- Salesforce davasının konu satırı
- Davanın gövdesi (müşteri tarafından Cloudflare’ye sağlanırsa, anahtarlar, sırlar vb.
- Müşteri İletişim Bilgileri (örneğin, Şirket Adı, Talep E -posta Adresi ve Telefon Numarası, Şirket Alan Adı ve Şirket Ülkesi)
Cloudflare, “Bu olayın izole bir olay olmadığına inanıyoruz, ancak tehdit oyuncusu gelecekteki saldırılar için kimlik bilgilerini ve müşteri bilgilerini hasat etmeyi amaçladığına inanıyoruz.”
Diyerek şöyle devam etti: “Bu sürüklenme uzlaşmasından yüzlerce kuruluşun etkilendiği göz önüne alındığında, tehdit oyuncusunun bu bilgileri etkilenen kuruluşlardaki müşterilere yönelik hedeflenen saldırılar başlatmak için kullanacağından şüpheleniyoruz.”
Salesforce Veri İhlal Dalgası
Yılın başlangıcından bu yana, Shinyhunters gasp grubu, çalışanları kötü niyetli OAuth uygulamalarını şirketlerinin Salesforce örnekleriyle ilişkilendirmeleri için kandırmak için Voice Kimlik Yardımı (Veşh) kullanarak Salesforce müşterilerini veri hırsızlığı saldırılarında hedefliyor. Bu taktik, saldırganların daha sonra kurbanları zorlamak için kullanılan veritabanlarını çalmasını sağladı.
Google, Haziran ayında bu saldırıları ilk yazdığından beri, Shinyhunters’ın Google, Cisco, Qantas, Allianz Life, Farmers Insurance, Workday, Adidas ve LVMH iştirakleri Louis Vuitton, Dior ve Co.
Bazı güvenlik araştırmacıları BleepingComputer’a Salesloft tedarik zinciri saldırılarının aynı tehdit aktörlerini içerdiğini söylese de, Google bunları birbirine bağlayan kesin bir kanıt bulamadı.
Palo Alto Networks, hafta sonu boyunca Salesloft Drift Breaches’in arkasındaki tehdit aktörlerinin, iletişim bilgileri ve metin yorumları da dahil olmak üzere müşteriler tarafından gönderilen bazı destek verilerini çaldığını doğruladı.
Palo Alto Networks olayı da Salesforce CRM ile sınırlıydı ve şirketin BleepingComputer’a söylediği gibi, ürünlerini, sistemlerini veya hizmetlerini etkilemedi.
Siber güvenlik şirketi, AWS Access Anahtarları (AKIA), VPN ve SSO giriş dizeleri, kar tanesi jetonları ve “gizli”, “şifre” veya “anahtar” gibi genel anahtar kelimeleri, diğer artış saldırılarında daha fazla bulut platformunu ihlal etmek için kullanılabilecek jeteral anahtar kelimeleri gözlemledi.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.