Salesforce örneklerine yönelik Salesloft Drift kaynaklı saldırıların kapsamının beklenenden çok daha geniş olduğu ve tüm entegrasyonları etkilediği bildirildi. Google Tehdit İstihbarat Grubu (GTIG) ve Mandiant, tüm Salesloft Drift müşterilerinin Drift platformunda depolanan veya bağlantılı kimlik doğrulama tokenlarını potansiyel olarak ele geçirilmiş olarak değerlendirmeleri gerektiğini belirtti.
Google, 9 Ağustos 2025 tarihinde “Drift Email” entegrasyonu için ele geçirilen OAuth tokenlarının az sayıda Google Workspace e-posta hesabına erişim sağlamak için kullanıldığını, ancak bu durumun Google Workspace veya Alphabet’in doğrudan bir ihlali olmadığını vurguladı. Erişim sağlanan hesapların yalnızca Salesloft ile özel entegrasyonlu hesaplar olduğu ve saldırganların diğer Workspace hesaplarına ulaşamadığı ifade edildi.
Olay sonrası Google, etkilenen kullanıcıları bilgilendirip ilgili OAuth tokenlarını iptal etti ve Salesloft Drift ile Google Workspace entegrasyonunu geçici olarak devre dışı bıraktı. Şirketler, tüm üçüncü taraf entegrasyonların gözden geçirilmesini, kimlik bilgilerinin yenilenmesini ve yetkisiz erişim belirtilerinin incelenmesini öneriyor.
UNC6395 Tehdit Grubu ve Genişleyen Saldırı Alanı
8-18 Ağustos 2025 tarihleri arasında UNC6395 kod adlı tehdit aktörünün Salesloft Drift OAuth tokenlarını kullanarak Salesforce örneklerine erişim sağladığı ve veri hırsızlığı gerçekleştirdiği tespit edildi. Salesloft, Salesforce, Slack ve Pardot arasındaki Drift entegrasyonlarının geçici olarak devre dışı bırakıldığını ve şu ana kadar Salesloft entegrasyonlarında kötü niyetli faaliyet tespit edilmediğini açıkladı.
Kurumsal Kurbanlar ve Erişilen Veriler
Siber güvenlik firması Zscaler, Salesforce örneğine erişim sağlanarak müşteri bilgileri ve destek vaka içeriklerinin çalındığını doğruladı. Palo Alto Networks ise benzer şekilde saldırı kampanyasının kurbanı olduğunu ve sınırlı sayıda müşterinin potansiyel olarak hassas verilerinin açığa çıktığını bildirdi. Her iki şirket de olayın ürün ve hizmetlerini etkilemediğini belirtti.
Diğer Etkilenen Kuruluşlar ve Güvenlik Önlemleri
Cloudflare, PagerDuty, SpyCloud ve Tanium gibi şirketler de ihlalden etkilendiğini duyurdu. Cloudflare, ele geçirilen 104 API tokenını yenilediğini ve altyapısının etkilenmediğini açıkladı. Okta, ele geçirilen tokenlarla Salesforce erişim girişimlerinin IP kısıtlamaları sayesinde engellendiğini ve bu güvenlik katmanının kritik olduğunu vurguladı.
Uzman Görüşleri ve Tavsiyeler
Astrix Security, kapsamlı OAuth token yönetiminin önemini vurgularken, WideField ise Salesloft Drift OAuth uygulaması erişimiyle ilişkili hesapların ele geçirilmiş sayılması ve anormal faaliyetlerin izlenmesi gerektiğini belirtti. Bu ihlal, SaaS ekosisteminde OAuth tabanlı erişim kontrollerinin ne denli hayati olduğunu bir kez daha ortaya koydu.