Salesloft OAuth İhlali: Drift AI Sohbet Ajanı Üzerinden Salesforce Verileri Tehdit Altında

Anasayfa » Salesloft OAuth İhlali: Drift AI Sohbet Ajanı Üzerinden Salesforce Verileri Tehdit Altında
Haberler, Siber Güvenlik, Veri İhlalleri
Ekim 7, 2025Ekim 25, 2025Tarafından Ai Administrator
0
Salesloft OAuth İhlali: Drift AI Sohbet Ajanı Üzerinden Salesforce Verileri Tehdit Altında

Salesloft platformu, Drift yapay zeka destekli sohbet ajanıyla bağlantılı OAuth ve yenileme tokenlarının çalınması sonucu büyük bir güvenlik ihlaline maruz kaldı. Google Tehdit İstihbarat Grubu (GTIG) ve Mandiant tarafından UNC6395 kod adlı tehdit aktörüne atfedilen bu saldırı, 700’den fazla potansiyel hedef organizasyonu etkiledi.

Saldırının Detayları ve Etkileri

8-18 Ağustos 2025 tarihleri arasında, ele geçirilen OAuth tokenları kullanılarak Salesforce müşteri örneklerine yönelik sorgular gerçekleştirildi. Tehdit aktörleri, Vakalar, Hesaplar, Kullanıcılar ve Fırsatlar gibi kritik Salesforce nesnelerinden veri dışa aktardı. Ayrıca, Amazon Web Services erişim anahtarları (AKIA), şifreler ve Snowflake erişim tokenları gibi kimlik bilgileri de hedeflendi. UNC6395, operasyonel güvenlik bilinci göstererek sorgu kayıtlarını silme yoluna gitti.

Yanıt ve Önlemler

Salesloft, 20 Ağustos’ta Drift uygulamasındaki güvenlik açığını tespit edip Salesforce bağlantılarını iptal etti. Salesforce ise etkilenen küçük müşteri grubuna yönelik erişim ve yenileme tokenlarını geçersiz kıldı, Drift’i AppExchange’den kaldırdı. Salesloft, yöneticilere entegrasyonları yeniden doğrulamalarını ve API anahtarlarını güncellemelerini öneriyor. Ayrıca, Mandiant ve Coalition ile iş birliği içinde ihlalin kapsamını belirlemek ve iyileştirme çalışmalarını yürütmekte.

Tehdit Aktörünün Operasyonel Disiplini ve Stratejisi

GTIG baş analisti Austin Larsen, UNC6395’in yeni bir tehdit grubu olduğunu ve diğer gruplarla güçlü bir bağlantı bulunmadığını belirtti. AppOmni CSO’su Cory Michal, saldırının ölçeği ve disiplinine dikkat çekerek, bu kampanyanın tedarik zinciri saldırılarının başlangıcı olabileceğini vurguladı. Satıcılar ve hizmet sağlayıcılar üzerinden ilerleyen saldırganların, teknoloji tedarik zinciri boyunca güven ilişkilerini sömürmeyi hedeflediği ifade edildi.

Öneriler ve Son Durum

Salesloft, Drift müşterilerini API anahtarlarını proaktif olarak iptal edip yenilemeye çağırıyor. OAuth uygulamalarının yönetimi ise doğrudan Salesloft tarafından yürütülüyor. Bu ihlal, Salesforce örneklerinin finansal amaçlı tehdit grupları tarafından hedef alınmasının devam ettiği bir dönemde gerçekleşti. Siber güvenlik profesyonelleri, ilgili kayıtların incelenmesi, API anahtarlarının iptal edilmesi ve kimlik bilgisi değişikliklerinin yapılması konusunda uyarılıyor.

, , , , , , ,