Google’a ait güvenlik firması Mandiant, yapay zeka sohbet ajanı sapması, tehdit aktörleri tarafından Salesforce örneklerinden ödün vermek için kullanılan AI destekli pazarlama platformu Salesloft’un genişlemesinin temel nedenini belirledi.
Mantiant’ın soruşturması, tehdit oyuncusunun Mart ayından Haziran 2025’e kadar Salesloft’un GitHub Kodu Deposu hesabına eriştiğini gösteriyor.
Tehdit oyuncusu, birden fazla depodan içerik indirdi, bir konuk kullanıcı ekledi ve iş akışları kurdu.
Tehdit oyuncusu tarafından sınırlı miktarda keşif de gerçekleşti.
Daha sonra, tehdit oyuncusu AWS ortamına Drift için erişti ve müşterilerin Salesforce ile teknoloji entegrasyonları için Açık Yetkilendirme (OAuth) kimlik doğrulama jetonları aldı.
OAuth jetonları elimde, tehdit oyuncusu daha sonra iş iletişim bilgileri ve vaka meta verileri gibi müşteri verilerine erişebildi.
Salesloft, Mantiant’ın bulgularını hafta sonu yayınladı.
Mantiant, Müşteri kimlik bilgileri elde etmek için personelin sosyal tasarlanmış sesli kimlik avı yoluyla yürütüldüğü gibi görünen 28 Ağustos US zamanında ihlalleri araştırmak için Salesloft tarafından tutuldu.
Şimdiye kadar, bilgiye sahip olan şirketlerin ve kuruluşların listesi Zscaler, Cloudflare, Palo Alto Networks, Proofpoint, Spycloud, Tanyum, Tenable, Pagerduty, Cyberark, Bugcrowd, Esker, Heap, Jfrog, Megaport, Rubrik, İşçi ve Google yer alıyor.
İhlalden sonra Salesloft Drift, Salesforce AppExchange’den kaldırıldı ve OAuth jetonları iptal edildi ve müşteriler kimlik bilgilerini döndürmelerini istedi.
Salesforce ve Salesloft arasındaki entegrasyon o zamandan beri geri yüklendi.
Yazma sırasında, büyük ölçekli saldırının arkasında kimin resmi bir atıf yok, ancak ABD medyası bunun gevşek organize dağılmış örümcek/Shinyhunters grubu olduğunu öne sürdü.