Önde gelen insan kaynakları ve finansal yönetim yazılımı sağlayıcısı olan Workday, üçüncü taraf bir müşteri ilişkileri yönetimi (CRM) sistemini hedefleyen bir sosyal mühendislik saldırısından kaynaklanan bir veri ihlaline kurban düştüğünü doğruladı. Şirkete göre, ihlal müşteri kiracılarını veya buradaki güvenli verileri etkilemedi; Bunun yerine, tehlikeye atılan sistem, isimler, e -posta adresleri ve telefon numaraları dahil olmak üzere öncelikle “yaygın olarak mevcut iş iletişim bilgileri” içeriyordu.
Tehdit aktörleri, koordineli bir sosyal mühendislik kampanyası aracılığıyla ihlali başlattı. Dahili İK veya BT personelini taklit ederek SMS veya telefon görüşmeleri yoluyla Workday çalışanlarına ulaştılar. Bu saldırganlar, çalışanları kötü niyetli OAuth uygulamaları aracılığıyla muhtemelen Salesforce tabanlı CRM platformuna sızmalarına izin vererek çalışanları erişim veya kişisel bilgileri açığa çıkarmaya kandırdı.
Olay hakkında yorum yapmak, Dray Agha, Huntress Güvenlik Operasyonları Kıdemli Müdürüsöz konusu, “Bu olay, pazarlık edilemez üç savunmanın altını çiziyor: OAuth kör noktalarını ortadan kaldırın ve üçüncü taraf uygulama entegrasyonları için sıkı bir izin vermeyi zorunlu hale getirin. Güvenlik bilinci eğitimi, siber saldırıları reddetmek isteyen herhangi bir kuruluş için bir zorunluluktur. ”
Workday, 6 Ağustos 2025’te ihlali keşfetti ve olayı 15 Ağustos’ta bir blog yazısı aracılığıyla halka açtı. İhlali belirledikten sonra, Workday derhal yetkisiz erişimi engelledi ve sistemleri boyunca ek önlemler uyguladı. Şirket, müşteriye dönük ortamlarının uzlaşmadığını ve paydaşları kimlik avı ve kimlik kurma girişimlerine karşı uyanık kalmaya çağırdığını ve kullanıcılara resmi iletişimin şifre veya hassas bilgiler talep eden telefon yoluyla asla yapılmayacağını hatırlattığını vurguladı.
Tim Ward, CEO ve kurucu ortağı Redflagssınırlı verilerin bile daha geniş bir etkisi olabileceği konusunda uyardı: “İş günü uyarısı doğrudur; saldırganların sonraki sosyal mühendislik saldırılarında ‘aşinalık’ artırmak için kullanabileceği herhangi bir bilgi, etkilerini önemli ölçüde artıracaktır. Otorite yanlılığı, bilişsel kolaylık, sosyal kanıt ve sadece maruz kalma etkisi gibi psikolojik etkiler, onlardan iletişimlere güvenme olasılığı daha yüksektir ve daha az, sosyal mühendisliğin sağlanması için daha düşük bir şekilde, yardım etmeyi teşvik edebilir. Organizasyonlardaki insanları bu tehditlerden korumak için kritik olun. ”
Kullanılan yöntemler, bu tür kampanyaların nasıl olabileceğini vurgulamaktadır. Boris Cipot, Black Duck’ta Kıdemli Güvenlik Mühendisiaçıklandı: “Sosyal mühendislik, kurbanları hassas bilgileri serbest bırakmak için aldatmak için psikoloji ve sosyal etkileşim becerilerine dayanan manipülatif bir saldırı yöntemidir. Saldırganlar kurbanları, genellikle birden fazla etkileşim ve ‘dahili’ bilgilerin meşru görünmesini gerektiren hassas bilgilere erişim sağlamaya yardımcı olan eylemleri gerçekleştirmeye yönlendirir.
Sosyal mühendisliğe karşı korunmak için kuruluşlar, CEO da dahil olmak üzere yüksek rütbeli yöneticilere bile telefon üzerinden bilgi vermemek gibi hassas bilgileri ele almak için katı prosedürler oluşturmalı ve uygulamalıdır. Çalışanlar bu prosedürlerin farkında olmalı ve bilgi vermeyi reddettikleri veya bir amir taklit eden birine yardım etmeyi reddettikleri için cezalandırılmayacaklarını anlamalıdır.
Veri ihlalinin kurbanları dikkatli olmalıdır. Workday temkinli kalmalı ve potansiyel dolandırıcılık, kimlik avı saldırıları ve sosyal mühendislik tekniklerinin farkında olmalıdır. Her ne kadar ihlal edilen bilgiler bu durumda yaygın olarak bilinen ticari verilerle sınırlı olsa da, bireyler daha fazla saldırıya avlanmaktan kaçınmak için hala uyanık olmalıdır. ”
Bu izole bir olay değil. Benzer kampanyalar, Google, Adidas ve Qantas dahil olmak üzere diğer yüksek profilli kuruluşları hedef aldı. Cybersmart’ta CEO ve kurucu ortağı Jamie Akhtarihlalin sosyal mühendisliğin ne kadar geliştiğini vurguladığını söyledi: “Bu ihlal iki şey gösteriyor. Birincisi, Workday’ın Adidas, Qantas, Google ve Air France-KLM’nin bu şekilde tehlikeye atılmasını içeren uzun bir listedeki en son olduğu göz önüne alındığında, bu şekilde tehlikeye atılacak, hedef işle belirli bir çalışanların hedeflenmesi geleneksel spray ve dua ‘kimlik kampanyalarından uzun bir yoldur.
İkincisi, her işletmenin uygun, hedefli siber güvenlik farkındalığı eğitimine girmesi gerektiğini vurgulamaktadır. Sadece teknik yollarla sosyal mühendislik tehditlerini tamamen ortadan kaldırmak çok zordur. Sonuçta, sadece bir personel, her şeyin çökmesi için akıllı bir aldatmaca tarafından kandırılacak. Bu nedenle, işletmelerin personel eğitimine odaklanması gerekir. İnsanlarınızı potansiyel tehditler için sürekli olarak tetikte olmaları ve bunları tanımak için eğitmek, sosyal mühendisliğe karşı koymanın en etkili yoludur. ”
Keeper Security’nin CEO’su ve kurucu ortağı Darren Guccioneüçüncü taraf sistemlerinin kurumsal saldırı yüzeyinin bir parçası olarak ele alınması gerektiği konusunda uyardı:
“İş gününü etkileyen veri ihlali, üçüncü taraf platformlarını hedefleyen sosyal mühendislik taktikleri tarafından ortaya çıkan kalıcı ve gelişen riskin mükemmel bir örneğidir. Durum, kurumsal yazılım satıcıları arasında rahatsız edici bir eğilimi yansıtmaktadır ve sofistike sosyal mühendislik ve oauth tabanlı taktikler aracılığıyla çoklu küresel girişimlerde CRM sistemlerini hedefleyen daha geniş bir saldırı dalgasına bağlı görünmektedir.
Birincil sistemler bozulmadan kalsa bile, harici entegrasyon noktaları saldırganlar için ağ geçidi olarak hizmet edebilir. Bu üçüncü taraf ekosistemler genellikle iç ortamlarla aynı inceleme ve kontrol seviyesine tabi tutulmaz.
Bu nedenle saldırganlar, bireyleri erişim sağlamak veya hassas bilgileri açıklamak için bireyleri kandırmak için İK veya BT personelini telefon ve metin yoluyla taklit edeceklerdir. Erişilen veriler sınırlı görünse de, daha sonra kendi kişisel verilerini kullanarak müşteriler üzerindeki yüksek hedefli kimlik avı veya ısmarlama sosyal mühendislik planlarını besleyebilir.
Bu nedenle kuruluşlar, üçüncü taraf uygulamalarını, satıcı araçlarını ve CRM sistemlerini kendi saldırı yüzeylerinin ayrılmaz uzatma noktaları olarak görmelidir. Gerekenlere erişimi kısıtlamalı ve maruz kalmayı sınırlamak için ayrıcalıklı erişim yönetimi (PAM), sıfır tröst mimarileri ve sıfır bilgi yaklaşımlarını uygulamalıdırlar. Tüm ortakların ve üçüncü taraf platformların düzenli güvenlik değerlendirmeleri ve sürekli izlemeler yapmasını gerektirmelidirler. Çalışanlar farkındalığı artırmak için sık sık simülasyon testi ile eğitilmelidir. Kuruluşların, herhangi bir alışılmadık erişime işaretlemek ve katılmak için sürekli izleme ve hızlı yanıt kullanması da önemlidir.
İş günü ihlali izole bir olay değil-kötü niyetli aktörlerin insan güvenini, üçüncü taraf araçlarını ve yanlış hizalanmış eski süreçlerden yararlanmaya çalıştığı daha geniş, artan dijital tehdit manzarasının bir parçası. Kuruluşlar, güvenliği hemen çevrenin ötesinde, her entegrasyona, her harici satıcıya ve her çalışan etkileşimine uzanan işletme çapında bir disiplin olarak ele almalıdır. ”
Javvad Malik, Knowbe4’te Güvenlik Bilinçlendirme Avukatıteknik kontrollerin sınırları olduğunu güçlendirdi: “Sosyal mühendislik, organizasyonların teknik kontrollerin sınırlamaları olduğunu ihlal etmenin en yaygın yolu olmaya devam ediyor. Şu anda teknolojinin e -postalarla risklerin bir kısmını azaltabileceğimiz şekilde, telefon çağrılarını taramak ve engellemek için etkili yollarımız yok. İnsanları, insanları ayrıcalıklı olarak eğitmekle kalmayıp, bunları, herhangi bir şüpheli talepte bulunmaya devam etmek için hiçbir şüpheye sahip olmak için değil, bunları güçlendirmek için güçlendirmek için değil, bunları güçlendirmek için önemlidir. Çalınan bilgiler, daha da büyük bir saldırıya dayanak olarak kullanılabilecek ikna edici takip dolandırıcılığı yapmak için kullanılabilir. ”
Chris Hauk, Pixel Gizliliğinde Tüketici Gizlilik Avukatışirketlerin daha güçlü iç süreçlere ihtiyacı olduğunu ekledi: “Workday gibi kuruluşların, iş gününü düşürenler gibi aranan çağrıları folyo yapacak süreçleri uygulamaya koymaları gerekiyor. Şirketler, çalışanlarını ve yöneticilerini böyle şemaları nasıl tanıyacakları konusunda eğitmeli ve bir girişim olduğunda hemen iletişim kurmanın yollarını sağlamalıdır. Herhangi bir bilgiyi teslim etmeden veya sunucularını ihlal etmek için kullanılabilecek herhangi bir işlem yapmadan önce tamamlanmasını gerektiren güvenlik kontrol listeleri bulunmalıdır. ”
Nihayet, Chris Linnell, Bridewell’de Veri Gizliliği Yardımcı Direktörügörünüşte düşük riskli ihlallerin bile artabileceği konusunda uyardı: “Workday tarafından üçüncü taraf CRM platformunun ihlali ile ilgili son açıklama, veri koruma ve güvenlik topluluğunda anlaşılır bir şekilde kaygıları artırdı. Yüzeyde, etkisi düşük gibi görünüyor-öncelikle uzlaşılan veriler, çoğu halka açık olan iş iletişim bilgilerinden oluştuğu için, bu kuruluşları tamamlanmaya yönlendirmemelidir.
Gerçek risk, hedeflenen sosyal mühendislik saldırıları potansiyelinde yatmaktadır. M & S gibi yüksek cadde zincirlerini içeren son ihlallerde görüldüğü gibi, görünüşte zararsız iletişim bilgileri bile ikna edici kimlik avı veya vishing kampanyaları yapmak için silahlandırılabilir. Tehdit aktörleri iş günü personelini taklit etmek için bu verileri kullanabileceğinden, iş günü müşterileri ve beklentileri özellikle uyanık olmalıdır.
İyi haber şu ki, Workday ihlalin temel platformunu veya müşteri kiracını etkilemediğini doğruladı. Bu, özellikle iş gününün İK ve bordro işleme için yaygın olarak kullanıldığı ve genellikle hassas ve özel kategori verilerini içeren önemli bir rahatlamadır. Sağlık bilgileri, çeşitlilik metrikleri ve finansal detaylar gibi çalışan verilerinin gizliliği sağlam kalır.
Bu olay, sosyal mühendislik konusunda sağlam çalışan eğitimine devam eden ihtiyacın altını çizmektedir. Geleneksel kimlik avı simülasyonları artık yeterli değildir. Kuruluşlar, farkındalık mesajlaşmasının yankılanmasını ve davranış değişikliğini yönlendirmesini sağlamak için daha yaratıcı ve ilgi çekici yöntemleri araştırmalıdır.
Son olarak, ihlal tedarik zinciri güvenliğinin önemini hatırlatıyor. Kuruluşlar, tedarikçilerinin ve ortaklarının insanlar, süreçler ve teknoloji arasında güçlü kontroller yapmasını sağlamalıdır. Söyledikçe, sadece en zayıf bağlantınız kadar güçlüsünüz. ”
İş günü ihlali, hassas müşteri verileri doğrudan maruz kalmadığında bile, saldırganların daha sofistike kampanyalar başlatmak için görünüşte iyi huylu bilgileri kullanabileceğini hatırlatır. Uzmanların kabul ettiği gibi, bu tehditlere karşı savunmak sadece teknik önlemlerden daha fazlasını gerektirir; Titiz çalışan eğitimi, esnek süreçler ve üçüncü taraf sistemlerin artan incelemesinin bir karışımını gerektirir. Sosyal mühendislik saldırıları sıklık ve sofistike büyüyen kuruluşlarla, kuruluşlar her entegrasyonu, her ortağa ve her çalışanı güvenlik çevresinin bir parçası olarak ele almalıdır.
Post Workday, BT Security Guru’da ilk kez ortaya çıktıktan sonra CRM hedefli sosyal mühendislik saldırısının ardından veri ihlalini açıklar.