Salesloft, Salesloft Drift veri ihlali ile sonuçlanan saldırı, şirketin GitHub hesabının uzlaşmasıyla başladı, Salesloft bu hafta sonu doğruladı.
Tedarik zinciri uzlaşması
26 Ağustos’ta şirket, o ayın başlarında, bir tehdit aktörünün, sürüklenme (Salesloft) chatbot’larının söz konusu örneklerle entegrasyonunu sağlayan çalıntı OAuth kimlik bilgilerinden yararlanarak müşterilerinin Salesforce örneklerinden verileri açıkladığını açıkladı.
Google Tehdit İstihbarat Grubu saldırıyı UNC6395 olarak izledikleri bir saldırı grubuna bağladı.
Ayrıca, saldırganların, müşterileri tarafından bu kuruluşlara gönderilen destek biletlerine dahil edilebilecek hassas erişim kimlik bilgilerinin-AWS erişim anahtarları, şifreler, kar tanesi ile ilgili erişim belirteçleri-olduklarını söylediler.
Cloudflare, Zscaler, Palo Alto Networks, Elastik, Bugcrowd ve diğerleri dahil olmak üzere bir dizi kuruluş, o zamandan beri veri hırsızlığını doğruladı.
Şirketlerin çoğu potansiyel olarak tehlikeye atılan verileri analiz etmeye ve etkilenen müşterileri bilgilendirmek için müşterilerin destek biletlerinde sırları keşfettikleri yerlerde. (Tepkilerinin sırların kötüye kullanımını önleyecek kadar hızlı olup olmadığı görülüyor.)
Araştırmacılar ne buldu
Bu arada Salesforce, Drift platformunun uzlaşmasını ve teknoloji entegrasyonlarını araştırmak için Mantiant ile uğraştı.
“Mart – Haziran 2025’te, tehdit oyuncusu Salesloft Github hesabına erişti. Bu erişimle, tehdit oyuncusu birden fazla depodan içerik indirebildi, bir konuk kullanıcı ekleyebildi ve iş akışları kurabildi.
“Soruşturma, Mart 2025 ve Haziran 2025 arasında Salesloft ve Drift uygulama ortamlarında meydana gelen keşif faaliyetlerini kaydetti. Analiz, Salesloft başvuru ortamıyla ilgili sınırlı keşif ötesinde kanıt bulamadı.”
Buldukları şey, tehdit oyuncusunun Drift’in AWS ortamına erişmeyi, Drift müşterilerinin teknoloji entegrasyonları için OAuth jetonları elde etmeyi ve müşterilerin Salesforce örneklerine erişmek için kullandığıdır.
Salesloft, saldırganların GitHub hesabına nasıl girdiğini söylemedi.
Şirket, saldırganların varlığını Drift ve Salesloft uygulama ortamlarından keşfetmek ve ortadan kaldırmak, onları sertleştirmek ve Salesloft altyapısı ve teknolojileri arasında uzlaşma kanıtını kontrol etmek için Mandiant ile çalıştı.
“Mantiant, Salesloft ve Drift uygulamaları ve altyapı ortamları arasındaki teknik segmentasyonu doğruladı. Mantiant soruşturmasına dayanarak, bulgular olayı desteklendi” dedi ve SalesLoft platformu ve Salesforce arasındaki entegrasyonu geri yüklediklerini doğruladı.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!