Salesloft, kapsamlı bir güvenlik incelemesi ve sistem dayanıklılığını artırmak amacıyla Drift sohbet botunu geçici olarak devre dışı bıraktı. Bu süreçte, müşteri web sitelerindeki Drift sohbet botu erişime kapatıldı.
Olayın Detayları ve İş Birlikleri
Şirket, sistem ve müşteri verilerinin bütünlüğünü korumayı önceliklendirdiğini belirterek, siber güvenlik firmaları Mandiant ve Coalition ile birlikte olay müdahale çalışmalarını yürütüyor. Bu gelişme, Google Tehdit İstihbarat Grubu (GTIG) ve Mandiant’ın, Drift yapay zeka sohbet ajanıyla bağlantılı çalınan OAuth ve yenileme tokenlarının kullanıldığı yaygın bir veri hırsızlığı kampanyasını açıklamasının ardından geldi.
Tehdit Grubu ve Etkilenen Kuruluşlar
8-18 Ağustos 2025 tarihleri arasında, UNC6395 (GRUB1) adlı tehdit aktörü, Salesloft Drift üçüncü taraf uygulamasıyla ilişkili ele geçirilmiş OAuth tokenları aracılığıyla Salesforce müşteri örneklerini hedef aldı. Google, bu saldırıdan 700’den fazla kuruluşun potansiyel olarak etkilendiğini bildirdi. Başlangıçta sadece Salesloft’un Salesforce entegrasyonunun etkilendiği düşünülse de, daha sonra Drift ile entegre olan tüm platformların risk altında olduğu ortaya çıktı.
Salesforce, önlem olarak tüm Salesloft entegrasyonlarını geçici olarak devre dışı bıraktı. Etkilendiği doğrulanan bazı şirketler arasında Cloudflare, Google Workspace, Palo Alto Networks, Tenable ve Workday gibi büyük isimler bulunuyor.
Geleceğe Yönelik Riskler
Cloudflare, bu olayın izole olmadığını ve tehdit aktörlerinin kimlik bilgileri ile müşteri verilerini gelecekteki saldırılar için toplamaya devam edeceğini belirtti. Yüzlerce kuruluşun etkilendiği bu ihlal sonrası, hedefli saldırıların artması bekleniyor.