Salesforce, bulut tabanlı platformunda Klue uygulaması üzerinden yaşanan OAuth token suistimali nedeniyle entegrasyonu geçici olarak devre dışı bıraktı. Amerikan merkezli teknoloji şirketi, bu kararın arkasında uygulama bağlantısında tespit edilen olağan dışı aktivitelerin bulunduğunu ve bunun bazı müşteri verilerine yetkisiz erişime yol açmış olabileceğini açıkladı.
Saldırı Zinciri ve Teknik Detaylar
Olayın merkezinde, Klue adlı üçüncü taraf uygulamanın eski ve artık kullanılmayan bir kimlik bilgisi üzerinden saldırganların sisteme sızması bulunuyor. Bu erişimle ele geçirilen OAuth tokenları, Klue’nin farklı müşterilerinin Salesforce ve benzeri platformlara bağlanırken kullandığı yetkilendirme araçlarıydı. Saldırganlar, bu tokenlar sayesinde doğrudan müşterilerin CRM ortamlarına erişim sağladı ve veri sızıntısı gerçekleştirdi.
Klue, 12 Haziran 2026’da yetkisiz işlemleri fark ettiğini, ardından etkilenen kimlik bilgileri ve tokenların iptal edildiğini, yetkisiz kodların sistemden kaldırıldığını ve kapsamlı bir soruşturmanın başlatıldığını duyurdu. Huntress adlı siber güvenlik şirketi de müşterileri arasında yer alıyor. Huntress, saldırıda iş ilişkilerine dair bilgiler, fiyat teklifleri ve satış verilerinin çalındığını ancak şifre, ödeme kartı ya da telemetri verilerinin etkilenmediğini belirtti.
Hangi Sistemler Risk Altında?
İncelemeler, saldırının sadece Klue uygulamasının Salesforce ve diğer üçüncü taraf platform bağlantılarını hedef aldığını, Klue’nin kendi platformundaki müşteri içeriklerine erişilmediğini gösteriyor. Ancak, bu tür entegrasyonların, insan olmayan kimliklerle çalışan ve genellikle çalışan hesaplarından daha az izlenen varlıklar olması, saldırganların uzun süre fark edilmeden hareket etmesini kolaylaştırdı. ReliaQuest’in saptamalarına göre, bu saldırı yöntemi geçen yıl yaşanan Salesloft Drift ve Gainsight ihlallerine benzer yapıda gerçekleşti.
Kurumsal Ortamlarda Olası Senaryolar
Bir SaaS sağlayıcısının entegrasyon noktası ele geçirildiğinde, saldırganlar OAuth tokenları kullanarak müşterilerin CRM sistemlerine otomatik sorgularla erişip yüksek hacimli veri çekebiliyor. Örneğin, bazı ortamlarda 15 dakikada yaklaşık bin sorgu ile yoğun veri taraması yapıldığı, başka bir ortamda ise altı saatten fazla süren veri sızıntısı yaşandığı raporlandı. Bu durum, geleneksel insan kullanıcılarının davranış analizlerinden farklı olduğu için tespit edilmesi zorlaşıyor.
Siber Güvenlik Ekipleri İçin Öneriler
Saldırıların temelinde, uzun süre aktif kalmış ancak kullanılmayan kimlik bilgilerinin kötüye kullanılması yatıyor. Bu nedenle kurumların entegrasyon hesaplarını düzenli denetlemesi, kullanılmayan erişimlerin iptal edilmesi kritik. Ayrıca OAuth token kullanımının izlenmesi, anormal API çağrılarının tespiti için SIEM sistemlerinde kuralların güncellenmesi gerekiyor. Çok faktörlü kimlik doğrulama (MFA) ve Zero Trust prensipleri, üçüncü taraf entegrasyonlarda riskleri azaltabilir.
Olay müdahale süreçlerinde, OAuth tokenlarının ve entegrasyon hesaplarının davranış analizine ağırlık verilmeli, uzun süreli ve tekrarlayan sorgulara karşı otomatik alarmlar kurulmalı. EDR çözümleri, otomatik komut dosyası (Python-urllib user-agent) aktivitelerini tanımlayarak erken uyarı sağlayabilir.
Özetle
Bu olay, güvenilen üçüncü taraf uygulama entegrasyonlarının bile ciddi riskler barındırabileceğini gösterdi. Özellikle Salesforce gibi kritik CRM platformlarında OAuth tokenlarının suistimali, geniş çaplı veri kayıplarına yol açabiliyor. Kurumlar, hem tedarikçi yönetimi hem de bulut güvenliği perspektifinden entegrasyonlarını gözden geçirmeli ve e-posta güvenliği ile ağ segmentasyonu gibi savunma katmanlarını güçlendirmeli.