Türkiye'nin önde gelen teknoloji ve gündem haber portalı SenNexus olarak, siber güvenlik dünyasından dikkat çeken önemli bir gelişmeyi aktarıyoruz. Pazarlama ve satış otomasyonu devi Salesloft, Mart ayında GitHub hesabının hacklenmesi sonucu, aralarında Google ve Cloudflare gibi sektör liderlerinin de bulunduğu birçok büyük teknoloji şirketinin müşteri verilerinin tehlikeye girdiğini doğruladı. Bu olay, tedarik zinciri saldırılarının ne denli ciddi sonuçlar doğurabileceğini bir kez daha gözler önüne seriyor.
Saldırının Detayları ve Kilometre Taşları
Salesloft tarafından yapılan açıklamaya göre, Google'ın olay müdahale birimi Mandiant'ın yürüttüğü soruşturma, henüz kimliği açıklanmayan bilgisayar korsanlarının Mart ayından Haziran ayına kadar Salesloft'un GitHub hesabına yetkisiz erişim sağladığını ortaya koydu. Bu süre zarfında saldırganlar, birden fazla depodan içerik indirdi, misafir kullanıcı ekledi ve kötü amaçlı iş akışları oluşturdu. Elde edilen kimlik doğrulama jetonları (authentication tokens), daha sonra Salesloft'un yapay zeka destekli sohbet robotu platformu Drift'in Amazon Web Services (AWS) bulut ortamına sızmak için kullanıldı.
Bu aşamada çalınan OAuth jetonları, olayın kritik noktasını oluşturuyor. OAuth, kullanıcıların bir uygulamanın veya hizmetin başka bir uygulamaya bağlanmasına izin veren standart bir protokoldür. Drift, bu sayede Salesforce gibi platformlarla entegre olarak web sitesi ziyaretçileriyle etkileşim kurabiliyor. Saldırganlar, bu jetonları ele geçirerek aralarında Bugcrowd, Cloudflare, Google, Proofpoint, Palo Alto Networks ve Tenable gibi önemli müşterilerin de bulunduğu pek çok Salesloft müşterisinin sistemlerine sızma fırsatı buldu.
Güvenlik Zaafiyeti ve Geciken Tespit
Saldırının Mart ayında başlamış olmasına rağmen, Salesloft'un olayı ancak yaklaşık altı ay sonra tespit edebilmiş olması, şirketin güvenlik duruşu ve izleme mekanizmaları hakkında ciddi soru işaretleri yaratıyor. Sektör uzmanları, bu denli uzun süreli bir ihlalin, derinlemesine keşif ve daha fazla veri çalımı için saldırganlara bolca zaman tanımış olabileceğine dikkat çekiyor.
Bu durum, sadece Salesloft'un değil, tüm kurumsal yazılım sağlayıcılarının güvenlik protokollerini yeniden gözden geçirmesi gerektiğinin altını çiziyor. Erken tespit, siber güvenlik olaylarında zararın minimize edilmesi açısından hayati öneme sahiptir. Altı aylık bir boşluk, potansiyel olarak çok daha geniş kapsamlı bir etki yaratmış olabilir.
Saldırganlar ve Hedefleri
Google'ın Tehdit İstihbarat Grubu, Ağustos sonunda bu tedarik zinciri ihlalini ortaya çıkarmış ve saldırıyı 'UNC6395' olarak adlandırdığı bir hack grubuna atfetmişti. Ancak DataBreaches.net ve Bleeping Computer gibi siber güvenlik yayınları, ihlalin arkasındaki grubun ‘ShinyHunters’ olduğunu ve kurbanlara özel olarak ulaşıp fidye talep etmeye çalıştığını bildiriyor. Bu grupların temel amacının, hassas verileri çalmak ve fidye karşılığında geri vermeye çalışmak olduğu düşünülüyor.
Salesloft'un açıklamalarına göre, saldırganların birincil hedefi kimlik bilgilerini çalmaktı; özellikle AWS erişim anahtarları, şifreler ve Snowflake ile ilgili erişim jetonları üzerinde yoğunlaştılar. Hacklenen OAuth jetonları aracılığıyla Salesforce örneklerine erişerek, destek biletlerinde yer alan hassas verileri de ele geçirdikleri belirtiliyor.
Saldırı Kontrol Altında mı?
Salesloft, olayın şu anda 'kontrol altına alındığını' ve Salesforce ile olan entegrasyonun da yeniden sağlandığını duyurdu. Ancak, sızdırılan verilerin potansiyel etkileri ve henüz bilinmeyen başka hangi şirketlerin etkilendiği gibi konular, yakın gelecekte takip edilmeye devam edecek.
SenNexus'tan Ek Bilgi: Tedarik Zinciri Saldırılarının Artan Tehdidi
Bu tür tedarik zinciri saldırıları, modern siber güvenlik tehditlerinin en tehlikelilerinden birini oluşturmaktadır. Bir şirketin tek bir zayıf halkası, o şirketin tüm müşterilerini ve ortaklarını riske atabilir. Salesloft vakası, özellikle üçüncü taraf yazılım ve hizmet sağlayıcılarının kendi güvenliklerini en üst düzeyde tutmasının ne kadar kritik olduğunu bir kez daha gösteriyor. Kurumlar, sadece kendi iç güvenliklerini değil, tedarikçilerinin güvenlik duruşlarını da sürekli olarak denetlemeli ve olası ihlallere karşı proaktif önlemler almalıdır.
Bu kapsamda, siber tehditlerin sadece teknoloji tedarikçilerini değil, finans sektörünün devlerini de etkilediğini görmekteyiz. ABD'nin önde gelen risk sermayesi firmalarından Insight Partners, Ocak ayında 'sosyal mühendislik saldırısı' sonucu ciddi bir veri ihlali yaşadı. Yaklaşık 90 milyar doların üzerinde varlık yöneten ve siber güvenlik şirketlerine yatırım yapan bir firmanın, sınırlı ortakları, eski ve mevcut çalışanları ile ilgili kişisel bilgilerin yanı sıra bankacılık ve vergi bilgilerini de içeren hassas verilerinin çalınması, sektördeki ironik durumu ve siber güvenlik tehdidinin boyutlarını gözler önüne sermiştir. Insight Partners, bu tür saldırılara maruz kalan tek risk sermayesi firması değil; daha önce Advanced Technology Ventures ve Sequoia Partners gibi firmalar da benzer ihlaller yaşamış ve yatırımcılarının kişisel bilgileri ele geçirilmişti. Bu örnekler, finans ve yatırım ekosistemindeki kurumların da güvenlik protokollerini sürekli güçlendirmesi ve proaktif önlemler alması gerektiğinin altını çiziyor. Insight Partners veri ihlali hakkında daha detaylı bilgi için Insight Partners Veri İhlali: Yatırımcı Bilgileri Çalındı - Siber Güvenlik Tehdidi haberimize göz atabilirsiniz.
Olayla ilgili daha fazla bilgi edinmek için orijinal kaynağa göz atabilirsiniz: TechCrunch'tan Salesloft GitHub Saldırısı Detayları
