Image by ajay_suresh, from Wikimedia Commons
Google, Salesforce Veri Hırsızlığı Konusunda Kuruluşları Uyarıyor
Okuma süresi: 2 dk.
Son Güncellenen Aug 28, 2025
-
![Kiara Fabbri]()
-
![Lokalizasyon ve Çeviri Ekibi]()
Çevirisi tarafından yapılmıştır Lokalizasyon ve Çeviri Ekibi Lokalizasyon ve Çeviri Hizmetleri
Salesforce’u kullanan organizasyonlar, Drift AI chat entegrasyonunun arkasındaki satış otomasyon platformu olan Salesloft’un ihlal edilmesinin ardından hassas verilerinin çalınmış olabilir.
Acelesi olanlar için hızlı gerçekler:
- Hackerlar, Salesloft Drift OAuth ve yenileme jetonları üzerinden Salesforce verilerini çaldı.
- Çalınan veriler arasında AWS anahtarları, şifreler ve Snowflake erişim jetonları bulunuyordu.
- Salesforce ve Salesloft, jetonları iptal etti ve Drift uygulamasını geçici olarak kaldırdı.
Google’ın Tehdit İstihbarat Grubu (GTIG) ve Salesloft tarafından yapılan bir raporuna göre, saldırı 8 Ağustos ve 18 Ağustos 2025 tarihleri arasında gerçekleşti. UNC6395 olarak izlenen saldırganlar, Drift uygulamasından çalınan OAuth ve yenileme tokenlarını kullanarak Salesforce platformlarını çeşitli şekillerde ihlal ettiler.
“İlk bulgular, aktörün ana hedefinin kimlik bilgilerini çalmak, özellikle AWS erişim anahtarları, şifreler ve Snowflake ile ilgili erişim belirteçleri gibi hassas bilgilere odaklandığını göstermiştir,” diye belirtti bir Salesloft duyurusunda ifade edildi.
Saldırganlar, sistemli bir şekilde Salesforce nesneleri üzerinde sorgular gerçekleştirdi. Bunlar arasında Durumlar, Hesaplar, Kullanıcılar ve Fırsatlar bulunmaktadır.
GTIG, “UNC6395, sorgu işlerini silerek operasyonel güvenlik farkındalığını gösterdi, ancak loglar etkilenmedi ve kuruluşlar veri maruziyeti kanıtları için ilgili logları hala gözden geçirmeli.” şeklinde belirtti.
BleepingComputer saldırganların, Tor aracılığıyla ve AWS ve DigitalOcean gibi bulut barındırma hizmetleriyle altyapılarını gizlediklerini açıklıyor.
Salesloft ve Salesforce tarafından verilen güvenlik önlemleri yanıtı, tüm aktif Drift tokenlerinin iptalini ve uygulamanın geçici olarak Salesforce AppExchange’den kaldırılmasını içeriyordu.
Müşterilerin hesaplarını yeniden doğrulamaları ve giriş bilgilerini değiştirmeleri gerekiyor. Google, kuruluşlara Salesforce objelerini AWS anahtarları, Snowflake kimlik bilgileri, şifreler ve VPN giriş URL’leri için kontrol etmelerini öneriyor. Yönetici personeli ayrıca IP engelleme, uygulama ayrıcalıklarını kısıtlama ve kimlik doğrulama aktivitesini izleme gibi işlemleri de uygulamalıdır.
Bazı raporlar, ShinyHunters şantaj grubuna bağlantılar önerse de, Google onları bağlayan bir kanıt bulamadı. “Şu an için onları bağlayan ikna edici bir kanıt görmüyoruz,” dedi GTIG’nin Baş Tehtid Analisti Austin Larsen.
BleepingComputer, saldırının Salesforce’un, çalışanları tehlikeli uygulamaları yetkilendirmeye kandıran sosyal mühendislik saldırıları aracılığıyla hedef alındığı daha geniş bir saldırı dalgasının parçası olduğunu savunuyor.
Son zamanlarda yüksek profilli organizasyonlar, Google, Cisco, Adidas ve Louis Vuitton da dahil olmak üzere ilgili ihlalleri bildirdi.
Drift-Salesforce entegrasyonunu uygulayan organizasyonlar, verilerini tehlikeye atılmış olarak kabul etmeli ve sistemlerini ek hırsızlıklardan korumak için acil düzeltme prosedürlerini uygulamalıdırlar.
Önceki Hikâye
Son makaleler 
