Google’ın siber güvenlik birimi Mandiant, UNC6395 kod adlı tehdit aktörünün Mart 2025 ile Haziran 2025 arasında Salesloft’un GitHub hesabına erişim sağladığını tespit etti. Bu erişim sırasında saldırganlar, birden fazla depodan kod indirip misafir kullanıcı ekleyerek iş akışları oluşturdu. Ancak erişimin nasıl gerçekleştiği henüz netleşmedi.
Keşif Faaliyetleri ve AWS Ortamına Sızma
Soruşturma, aynı dönemde Salesloft ve Drift uygulama ortamlarında sınırlı keşif faaliyetlerinin yapıldığını ortaya koydu. Daha sonra saldırganlar, Drift’in Amazon Web Services (AWS) altyapısına erişerek OAuth tokenlarını ele geçirdi. Bu tokenlar, Drift entegrasyonları üzerinden müşteri verilerine ulaşmak için kullanıldı.
Güvenlik Önlemleri ve Entegrasyonların Durumu
Salesloft, saldırı sonrası altyapısını ve uygulamalarını izole ederek 5 Eylül 2025 itibarıyla sistemi çevrimdışı aldı. Kimlik bilgileri yenilendi ve Salesloft ile Drift arasında segmentasyon kontrolleri güçlendirildi. Ayrıca, üçüncü taraf uygulamalara API anahtarlarını iptal etmeleri önerildi. Salesforce ise 7 Eylül 2025’te Salesloft entegrasyonlarını Drift hariç yeniden aktif hale getirdi.