Siber güvenlik şirketi Zscaler, pazarlama platformu Salesloft Drift ile bağlantılı tehlikeye atılan Salesforce kimlik bilgileri aracılığıyla müşteri iletişim bilgilerini ortaya çıkaran yaygın bir tedarik zinciri saldırısının kurbanı olduğunu doğruladı.
31 Ağustos 2025’te açıklanan ihlal, dünya çapında 700’den fazla kuruluşu etkileyen Salesloft Drift’in OAuth jetonlarını hedefleyen daha büyük bir kampanyadan kaynaklanıyor.
Zscaler, olayın Salesforce ortamıyla sınırlı olduğunu ve temel güvenlik ürünlerini, hizmetlerini veya altta yatan altyapıyı etkilemediğini vurguladı.
Güvenlik olayı, Google Tehdit İstihbarat Grubu ve Mantiant araştırmacılarının Ağustos 2025’in başından beri izlediği tehdit oyuncusu UNC6395 tarafından düzenlenen sofistike bir tedarik zinciri saldırısından kaynaklandı.
8-18 Ağustos 2025 arasında, saldırganlar, satış iş akışı otomasyonu için Salesforce veritabanlarıyla entegre olan AI destekli bir sohbet aracısı olan Salesloft Drift ile ilişkili OAuth jetonlarını sistematik olarak tehlikeye attı.
UNC6395, doğrudan Salesforce müşteri örneklerine kimlik doğrulaması yapmak için bu çalıntı jetonları kullanarak gelişmiş operasyonel yetenekler gösterdi ve çok faktörlü kimlik doğrulamasını tamamen atladı. Tehdit oyuncuları, yüzlerce hedeflenen kuruluşta veri hırsızlığı sürecini otomatikleştirmek için Python araçları kullandı.
Zscaler’da tehlikeye atılan bilgiler
Zscaler’ın resmi açıklamasına göre, tehlikeye atılan veriler yaygın olarak mevcut işletme iletişim bilgileri ve Salesforce’a özgü içerikle sınırlıydı:
- İsimler ve İş E -posta Adresleri
- İş başlıkları ve telefon numaraları
- Bölgesel ve konum detayları
- Zscaler ürün lisanslama ve ticari bilgiler
- Belirli destek durumlarından düz metin içeriği (ekler, dosyalar ve resimler hariç)
Şirket, “Kapsamlı soruşturmadan sonra Zscaler şu anda bu bilgilerin kötüye kullanılmasını önerecek hiçbir kanıt bulamadı” dedi. Bununla birlikte, ihlal, modern SaaS ortamlarında üçüncü taraf entegrasyonların kırılganlığını vurgulamaktadır.
Zscaler olayı, güvenlik araştırmacılarının 2025’teki en büyük SaaS ihlali kampanyası olarak adlandırdıklarının sadece bir parçasını temsil ediyor. Google’ın Tehdit İstihbarat Grubu, 700’den fazla kuruluşun bu tedarik zinciri saldırısından etkilendiğini tahmin ediyor.
Başlangıçta sadece Salesforce entegrasyonlarını hedeflediğine inanılan kampanyanın kapsamı, Google 28 Ağustos’ta Drift e -postası için OAuth Jetons’ın da tehlikeye atıldığını doğruladığında önemli ölçüde genişledi ve saldırganlara Google çalışma alanı hesaplarına sınırlı erişim sağladı. Mağdurların çoğu teknoloji ve yazılım şirketleridir ve potansiyel basamaklı tedarik zinciri riskleri yaratır.
Zscaler, Salesloft Drift’in Salesforce verilerine erişimini iptal ederek ve API erişim belirteçlerini ihtiyati bir önlem olarak döndürerek olayı tuttu. Şirket, Salesforce ile işbirliği içinde kapsamlı bir soruşturma başlattı ve benzer olayları önlemek için ek korumalar uyguladı.
20 Ağustos 2025’te Salesloft ve Salesforce, Drift uygulamasıyla ilişkili tüm aktif erişim ve yenileme jetonlarını iptal etmek için işbirliği yaptı. Salesforce ayrıca daha fazla soruşturma bekleyen AppExchange Pazarı’ndan sürüklenme uygulamasını kaldırdı.
Bu olay, SaaS-SAAS entegrasyonlarındaki geleneksel güvenlik kontrollerini sık sık atan kritik güvenlik açıklarının altını çizmektedir. OAuth jetonları, tehlikeye girdikten sonra, kimlik doğrulama uyarılarını tetiklemeden veya şifreler gerektirmeden kalıcı erişim sağlar.
Veri kötüye kullanımı kanıtı bulunmamış olsa da, Zscaler müşterileri maruz kalan iletişim bilgilerinden yararlanabilecek potansiyel kimlik avı saldırılarına veya sosyal mühendislik girişimlerine karşı artan uyanıklığı korumaya çağırıyor. Şirket, resmi Zscaler desteğinin, istenmeyen iletişim yoluyla asla kimlik doğrulama detayları talep etmeyeceğini vurgulamaktadır.
Üçüncü taraf SaaS entegrasyonlarını kullanan kuruluşların tüm bağlı uygulamaları gözden geçirmeleri, aşırı geniş izinleri iptal etmeleri ve olağandışı sorgu etkinliği veya büyük ölçekli veri ihracatı için sürekli izleme uygulamaları önerilir.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.