Workday, müşteri bilgilerini tehlikeye atan üçüncü taraf bir uygulamayı içeren bir güvenlik olayından sonra veri ihlali yaşadığını doğruladı.
İhlal, Salesloft’un Salesforce ortamlarına bağlanan sürüklenme uygulamasından kaynaklandı.
23 Ağustos 2025’te Workday sorunun farkına vardı ve uygulamayı hemen kopardı, erişim belirteçlerini geçersiz kıldı ve harici bir adli tıp firmasının desteğiyle bir soruşturma başlattı. Olay, kurumsal ortamlardaki üçüncü taraf entegrasyonlarla ilişkili kalıcı riskleri vurgulamaktadır.
İhlalin temel nedeni Salesloft’un sistemlerinde bir uzlaşma oldu. 26 Ağustos 2025’te Salesloft, bir tehdit oyuncusunun altyapısını ihlal ettiğini, OAuth kimlik bilgilerini aldığını ve müşterilerinin Salesforce ortamlarında aramalar yürütmek için kullandığını doğruladı.
Workday’ın kendi soruşturması, Salesforce örneğinin bu yetkisiz erişimden etkilendiğini doğruladı.
Yanıt olarak, Workday derhal olayın tam kapsamını değerlendirmek ve daha fazla yetkisiz faaliyeti önlemek için sürüklenme uygulamasını kullanan tüm satıcılarını değerlendirmeye başladı. Şirket, temel müşteri kiracılarının bu vektör aracılığıyla doğrudan erişilmediğini veya tehlikeye atılmadığını vurguladı.
Maruz kalan veriler
Bir üçüncü taraf adli tıp firmasının doğruladığı Workday’ın soruşturmasına göre, tehdit oyuncusu erişimi Salesforce ortamında depolanan çok küçük bir bilgi alt kümesiyle sınırlıydı.
Maruz kalan veriler iş iletişim bilgileri, temel destek vaka detayları, kiracı ve veri merkezi adları, ürün ve hizmet adları gibi kiracıyla ilgili özellikleri, ürün ve hizmet adlarını, eğitim kursu kayıtlarını ve etkinlik günlüklerini içerir.
En önemlisi, tehdit oyuncusu sözleşmeler, sipariş formları veya müşterilerin destek davalarına dahil ettiği ekler gibi hassas harici dosyalara erişmedi.
Workday, yanlışlıkla paylaşılmış olabilecek ve etkilenen müşterileri doğrudan bilgilendirecek tüm kimlik bilgileri için proaktif olarak tüm destek durumlarını arıyor.
Dikkat bol miktarda, Workday, tüm müşterileri destek ekipleriyle paylaşılmış olabilecek tüm kimlik bilgilerini bir destek vakası aracılığıyla derhal döndürmeye şiddetle çağırıyor.
Şirket, müşterilerin giriş biletlerine giriş bilgileri gibi hassas bilgileri asla dahil etmemeleri gerektiğine dair tavsiyesini yineledi.
Bu birincil öneriye ek olarak, Workday, müşterilere çok faktörlü kimlik doğrulamasının zorunlu kullanımı, çalışanlar için düzenli kimlik avı farkındalığı eğitimi almak ve şüpheli davranış belirtileri için kullanıcı etkinliğini aktif olarak izlemek de dahil olmak üzere güvenlik en iyi uygulamalarını takip etmelerini tavsiye etti. Salesloft ayrıca müşterilerin incelemesi için kendi güvenlik önerilerini de yayınladı.
Bu tedarik zinciri saldırısının onaylanmış kurbanları şunları içerir:
- Palo Alto Networks: Siber güvenlik firması, CRM platformundan iş iletişim bilgilerinin ve iç satış verilerinin maruz kalmasını doğruladı.
- Zscaler: Bulut Güvenlik Şirketi, adlar, iletişim bilgileri ve bazı destek vaka içeriği dahil olmak üzere müşteri bilgilerinin erişildiğini bildirdi.
- Google: Araştırmacı olmanın yanı sıra Google, çalışma alanı hesaplarının “çok küçük bir sayısına” tehlikeye atılan jetonlar aracılığıyla erişildiğini doğruladı.
- Bulutflare: Cloudflare, sofistike bir tehdit aktörünün eriştiği ve şirketin Salesforce örneğinden müşteri verilerini çaldığı bir veri ihlali doğruladı.
- Pagerduty Salesforce’da depolanan bazı verilerine yetkisiz erişim sağlayan bir güvenlik olayını doğruladı.
- Zorunlu bazı müşterilerinin iletişim bilgilerini ve destek vaka bilgilerini ortaya çıkaran bir veri ihlalini doğruladı.
- Qualys Salesloft Drift pazarlama platformunu hedefleyen yaygın bir tedarik zinciri saldırısından etkilendiğini ve Salesforce verilerinin bir kısmına yetkisiz erişim sağladığını doğruladı.
- Dynatatatatrace Salesloft Drift uygulamasından kaynaklanan bir üçüncü taraf veri ihlalinden etkilendiğini ve Salesforce CRM’sinde depolanan müşteri işletme iletişim bilgilerine yetkisiz erişim sağladığını doğruladı.
- Elastik Salesloft Drift’teki üçüncü taraf bir ihlalden kaynaklanan bir güvenlik olayını açıkladı ve bu da geçerli kimlik bilgileri içeren dahili bir e-posta hesabına yetkisiz erişim sağladı.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.