Salesloft, Mart ayında GitHub hesabında meydana gelen bir siber saldırı sonucunda kimliği belirsiz hackerlar tarafından kimlik doğrulama jetonlarının çalındığını ve bu jetonların daha sonra bazı büyük teknoloji müşterilerini hedef alan bir kütüphane saldırısında kullanıldığını açıkladı.
Saldırı ve Sonrası
Google’ın olay yanıt birimi Mandiant’ın yaptığı araştırmalara atıfta bulunan Salesloft, veri ihlali sayfasında hackerların Mart ayında Salesloft’un GitHub hesabına erişim sağladığını ve yapılan keşif faaliyetlerinin Haziran ayına kadar devam ettiğini belirtti. Bu süre zarfında birçok depo içeriği indirildi, misafir kullanıcı eklendi ve iş akışları oluşturuldu.
Olayın zamanlaması, şirketin güvenlik duruşu hakkında yeni sorular gündeme getiriyor. Öyle ki, Salesloft’un bu ihlali tespit etmesi yaklaşık altı ay sürmüştür.
Hackerlar ve Çaldıkları Veriler
Salesloft, ihlalin şu anda “kontrol altına alındığını” ifade etti. Ancak hackerlar, GitHub hesabına erişim sağladıktan sonra, Salesloft’un yapay zeka ve sohbet botu olan pazarlama platformu Drift’in Amazon Web Services (AWS) bulut ortamına da girdi. Bu, Drift’in müşterileri için OAuth tokenlarının çalınmasına olanak tanıdı.
Bu jetonları çalan tehdit aktörleri, Bugcrowd, Cloudflare, Google, Proofpoint, Palo Alto Networks ve Tenable gibi birçok Salesloft müşterisini ihlal etti. Bu ihlal sonucunda çalınan verilerin sayısı muhtemelen henüz bilinmeyen daha birçok kurumu etkilemiştir.
Şirketler Arası Saldırının Detayları
Google’ın Tehdit İstihbarat Grubu, bu tedarik zinciri ihlalini Ağustos ayı sonunda duyurdu ve UNC6395 adını verdikleri bir hacking grubuna atfetti.
Siber güvenlik yayınları DataBreaches.net ve Bleeping Computer‘ın daha önce bildirdiğine göre, bu ihlalin arkasında ShinyHunters adlı ünlü bir hacking grubu bulunuyor. Hackerların, kurbanlarını özel olarak iletişime geçerek tehditle para talep etmeye çalıştığı düşünülüyor.
Salesloft tokensına erişen hackerlar, Salesforce birimlerine de giriş yaparak destek taleplerinde saklı hassas verileri çaldı. Bu hackerların temel amaçlarından biri, şifre bilgileri gibi hassas bilgileri çalmak oldu. Özellikle AWS erişim anahtarları ve Snowflake ile ilgili erişim jetonları hedef alındı.
Son olarak, Salesloft, 26 Ağustos’ta yaptığı açıklamada, Salesforce ile olan entegrasyonlarının artık yeniden sağlandığını bildirdi.
