Salesforce Bağlantılı OAuth İhlali: Gainsight Uygulamasında Yetkisiz Veri Erişimi Tespit Edildi

Anasayfa » Salesforce Bağlantılı OAuth İhlali: Gainsight Uygulamasında Yetkisiz Veri Erişimi Tespit Edildi
Bulut Güvenliği, Siber Güvenlik Haberleri
Kasım 24, 2025Kasım 24, 2025Tarafından Cybernews.TR
0
Salesforce Bağlantılı OAuth İhlali: Gainsight Uygulamasında Yetkisiz Veri Erişimi Tespit Edildi

Salesforce ekosisteminde yer alan Gainsight uygulamasında, OAuth protokolü üzerinden yetkisiz veri erişimi sağlandığı tespit edildi. Bu durum, uygulamanın Salesforce ile olan bağlantısını kullanan üçüncü taraf erişim tokenlarının kötüye kullanılmasıyla gerçekleşti. Şirket, aktif erişim ve yenileme tokenlarını iptal ederek, ilgili uygulamaları geçici olarak AppExchange ve HubSpot Marketplace’ten kaldırdı. Ayrıca Zendesk bağlantı erişimleri de askıya alındı.

Google Tehdit İstihbarat Grubu (GTIG) baş tehdit analisti Austin Larsen, LinkedIn üzerinden yaptığı açıklamada, Gainsight uygulamasını hedef alan bu saldırı kampanyasının ShinyHunters (UNC6240) grubuyla bağlantılı olduğunu belirtti. Bu grup, Ağustos ayında Salesloft ve Drift platformlarını hedef alan benzer saldırılarla paralel hareket ediyor. Saldırganlar, OAuth tokenlarını ele geçirerek Salesforce verilerine yetkisiz erişim sağladı. Özellikle iş iletişim bilgileri, ürün lisanslama ve destek vaka içerikleri gibi hassas veriler risk altında.

Türkiye İçin Ne Anlama Geliyor?

Türkiye’deki kurumlar, özellikle KOBİ’ler ve kritik altyapılar açısından bu tür OAuth tabanlı saldırılar ciddi tehdit oluşturuyor. KVKK kapsamında kişisel verilerin korunması zorunluluğu göz önünde bulundurulduğunda, yetkisiz erişimlerin tespiti ve önlenmesi hem yasal hem de operasyonel açıdan kritik. Örneğin, bir e-ticaret sitesinde Gainsight benzeri bir üçüncü taraf uygulamanın OAuth tokenları ele geçirilirse, müşteri bilgileri ve ödeme verileri açığa çıkabilir, bu da hem müşteri güvenini zedeler hem de ağır para cezalarına yol açar.

Türkiye’de bulut tabanlı SaaS entegrasyonlarının yaygınlaşmasıyla birlikte, bu tür üçüncü taraf uygulamalara yönelik saldırılar artabilir. Kurumların, bulut güvenliği politikalarını güncellemeleri ve OAuth erişimlerini düzenli olarak denetlemeleri önem taşıyor. Ayrıca, SOC ekiplerinin bu tür saldırı vektörlerine karşı gelişmiş tehdit algılama sistemleri ve EDR çözümleri kullanması önerilir.

Özellikle finans, sağlık ve kamu sektörlerinde, OAuth tokenlarının kötüye kullanılması kritik veri sızıntılarına yol açabilir. Bu nedenle, Türkiye’deki BT yöneticilerinin, Gainsight gibi üçüncü taraf uygulamaların erişim izinlerini sıkı kontrol altına alması ve anormal aktiviteleri hızlıca tespit edecek loglama altyapılarını güçlendirmesi gerekmektedir.

Sistem Yöneticileri ve SOC Ekipleri İçin Hızlı Kontrol Listesi

  • Salesforce ve bağlı üçüncü taraf uygulamalarda aktif OAuth erişim tokenlarını düzenli olarak listeleyin ve gereksiz olanları iptal edin.
  • OAuth erişimlerini izlemek için gelişmiş loglama ve SIEM çözümleri kullanarak anormal bağlantı aktivitelerini tespit edin.
  • AppExchange ve HubSpot Marketplace gibi platformlardan yüklenen uygulamaların güvenlik değerlendirmelerini periyodik olarak yapın.
  • EDR ve UBA (User Behavior Analytics) araçlarıyla kullanıcı davranışlarını analiz ederek olağan dışı erişim girişimlerini engelleyin.
  • Üçüncü taraf uygulamalar için çok faktörlü kimlik doğrulama (MFA) zorunluluğu getirin ve erişim yetkilerini en düşük ayrıcalık prensibine göre yapılandırın.
  • OAuth tokenlarının kullanımını sınırlandırmak için IP beyaz listesi ve zaman kısıtlamaları uygulayın.
  • Şüpheli aktiviteler tespit edildiğinde, ilgili tokenları derhal iptal edin ve kullanıcı kimlik bilgilerini değiştirin.
  • Kurum içi ve dışı farkındalık eğitimleriyle OAuth tabanlı saldırı yöntemleri hakkında personeli bilgilendirin.

Teknik Özet

  • Kullanılan Zararlılar / Araçlar: OAuth token hırsızlığı, ShinyHunters (UNC6240) bağlantılı tehdit aktörleri, üçüncü taraf uygulamalar üzerinden yetkisiz erişim.
  • Hedef Sektörler / Bölgeler: Global Salesforce müşterileri, özellikle SaaS kullanan kurumsal firmalar; Türkiye dahil olmak üzere çok sayıda bölge.
  • Kullanılan Zafiyetler: OAuth protokolü üzerinden üçüncü taraf uygulama erişim tokenlarının kötüye kullanımı; spesifik CVE raporlanmamış ancak OAuth erişim yönetimi zafiyetleri kritik.
  • Saldırı Zinciri Özeti: (1) Gainsight uygulaması üzerinden OAuth tokenlarının ele geçirilmesi, (2) Salesforce verilerine yetkisiz erişim sağlanması, (3) hassas iş iletişim bilgileri ve destek vaka içeriklerinin sızdırılması.
  • Önerilen Savunma Yaklaşımı: OAuth erişim tokenlarının düzenli iptali, çok faktörlü kimlik doğrulama, gelişmiş loglama ve anomali tespiti, üçüncü taraf uygulama güvenlik değerlendirmeleri ve kullanıcı farkındalığı artırımı.

Bu olay, bulut güvenliği ve OAuth tabanlı entegrasyonların risklerini bir kez daha gözler önüne seriyor. Kuruluşların, e-posta güvenliği ve genel erişim yönetimi politikalarını güçlendirmeleri, fidye yazılımı gibi ileri tehditlere karşı da önemli bir koruma katmanı oluşturacaktır.

, , , , , ,