Salesloft'ta Mart ayında gerçekleşen ve altı ay boyunca tespit edilemeyen bir GitHub hack'inden kaynaklanan veri ihlali, kimlik doğrulama belirteçlerinin çalınmasına ve ardından Google, Cloudflare ve Palo Alto Networks dahil olmak üzere birçok Büyük Teknoloji müşterisini etkileyen veri ihlallerine yol açtı. Bu olay, yazılım tedarik zincirindeki kritik güvenlik açıklarını vurgulamakta ve teknoloji endüstrisinde artan incelemelere neden olmaktadır.

Giriş

ABD hisse senedi piyasaları, büyük bir yazılım sağlayıcısı olan Salesloft'un önemli bir veri ihlalini açıklamasının ardından Teknoloji Sektörü'ndeki siber güvenlik risklerine yeniden odaklandı. Bir GitHub hesabı uzlaşmasından kaynaklanan olay, Salesloft'un üçüncü taraf entegrasyonlarını kullanan çok sayıda "Büyük Teknoloji" şirketinden hassas verilerin sızmasına yol açarak dijital tedarik zincirindeki yaygın güvenlik açıklarını vurguladı.

Olay Detayları

Salesloft, GitHub hesabının Mart 2025'te UNC6395 (diğer adıyla GRUB1 veya ShinyHunters) olarak tanımlanan sofistike bir tehdit grubu tarafından ihlal edildiğini doğruladı. Bu izinsiz giriş yaklaşık altı ay boyunca tespit edilemedi. Bu süre zarfında tehdit aktörü, Salesloft'un uygulama ortamına erişim sağladı, kod depolarını indirdi, misafir kullanıcı hesapları aracılığıyla kalıcı erişim kurdu ve iş akışları oluşturdu.

Saldırının kritik aşaması, tehdit aktörünün Drift'in Amazon Web Services (AWS) ortamına geçiş yapmasını içeriyordu. Burada, UNC6395, Drift müşteri entegrasyonlarıyla ilişkili OAuth belirteçlerini elde etti. Bu çalınan belirteçler daha sonra, 8 Ağustos ile 18 Ağustos 2025 tarihleri arasında etkilenen şirketlerin Salesforce örneklerinden büyük miktarlarda verilere erişmek ve sızdırmak için kullanıldı. Cloudflare, Google (GOOGL), Palo Alto Networks, Proofpoint, Tenable, Bugcrowd, PagerDuty, Zscaler, Qualys, Tanium, Rubrik ve BeyondTrust gibi önde gelen isimler de dahil olmak üzere 700'den fazla kuruluş etkilendi.

İhlal edilen veriler, başta iş iletişim bilgileri, satış hesabı kayıtları ve destek vaka içeriği olmak üzere Salesforce CRM bilgilerinden oluşuyordu. Bazı durumlarda, sızıntı, API anahtarları, bulut kimlik bilgileri (örn. AWS erişim anahtarları, Snowflake belirteçleri) ve VPN kimlik bilgileri gibi potansiyel olarak gömülü sırlara kadar uzandı. Örneğin, Cloudflare, Salesforce kiracısının müşteri destek biletlerinin ve ilgili verilerin sızdırıldığını bildirerek 104 Cloudflare API belirtecinin önleyici olarak döndürülmesine yol açtı. Google, Drift Email entegrasyonuna bağlı az sayıdaki Gmail hesabına sınırlı erişim olduğunu doğruladı ve etkilenen belirteçleri hızla iptal ederek entegrasyonu devre dışı bıraktı.

Yanıt olarak, Salesloft ve Salesforce anında harekete geçerek 20 Ağustos'ta Drift uygulaması için tüm aktif belirteçleri iptal etti ve Salesforce, kapsamlı bir soruşturma sonuçlanana kadar Drift'i AppExchange'den geçici olarak kaldırdı. Salesloft, olay müdahalesi için siber güvenlik firmaları Mandiant ve Coalition'ı görevlendirdi.

Piyasa Tepkisi Analizi

İhlal, özellikle üçüncü taraf entegrasyonlara bağımlı şirketler için olumsuz piyasa duyarlılığını artırdı ve Teknoloji Sektörü genelinde riskten kaçınma duyarlılığını şiddetlendirdi. Salesloft özel bir kuruluş olmasına rağmen, olay halka açık müşterileri için doğrudan ve dolaylı mali sonuçlara yol açtı. Etkilenen şirketler şu anda olay müdahalesi, adli soruşturmalar, yaygın kimlik bilgisi döndürme ve gelişmiş güvenlik protokolleriyle ilişkili önemli, bütçe dışı maliyetlerle karşı karşıya.

İhlalden etkilenen kilit bir platform olan Salesforce (CRM), önemli dalgalanmalar yaşadı. Hisse senedi %2,58 düşüşle 249,64 dolara geriledi. Bu düşüş, Salesloft Drift veri ihlaliyle birleşerek kazanç raporu öncesinde siber güvenlik endişelerini artırdı. Opsiyon yatırımcıları, daha fazla düşüş beklentisiyle agresif bir şekilde alım opsiyonları satın aldı. Daha geniş Uygulama Yazılımı sektörü de zayıflık gösterdi; Microsoft (MSFT) gün içi %1,03 düşüşle, yapay zeka uygulama riskleri ve siber güvenlik açıklarıyla ilgili daha geniş endüstri endişelerini vurguladı. Bu olay, güçlü dahili güvenlik duruşlarının bile üçüncü taraf tedarik zincirlerindeki güvenlik açıkları tarafından baltalanabileceğini göstermektedir.

Daha Geniş Bağlam ve Çıkarımlar

Bu Salesloft ihlali, özellikle birbirine bağlı SaaS platformlarının güvenliği ile ilgili olarak daha geniş Web3 ekosistemi ve kurumsal benimseme eğilimleri için kritik bir uyandırma çağrısı niteliğindedir. Tek bir üçüncü taraf entegrasyonundaki güvenlik açıklarının sistemik bir risk oluşturabileceğini ve yüzlerce kuruluşa yayılan geniş çaplı veri sızıntısına yol açabileceğini açıkça göstermektedir.

"Olay, SaaS uygulamalarını ve diğer üçüncü taraf entegrasyonlarını güvence altına almada artan uyanıklığın kritik ihtiyacını vurgulamaktadır, zira tehlikeye atılan veriler ek saldırılar başlatmak için kullanılabilir."

Olay, OAuth belirteçleri ve bağlı uygulamalarla ilgili SaaS güvenliğindeki kalıcı bir kör noktayı vurgulamaktadır. Üçüncü taraf satıcılar için daha katı güvenlik standartlarının benimsenmesini hızlandıracak, güçlü kimlik ve erişim yönetimi çözümlerine olan talebi artıracak ve SaaS tedariki için daha sıkı durum tespiti süreçlerini gerektirecektir. Yatırımcı duyarlılığı, üstün tedarik zinciri güvenliği ve olay müdahale yetenekleri sergileyen şirketlere kayabilirken, dijital tedarik zincirlerinde zayıf bağlantılara sahip olduğu düşünülen şirketler artan inceleme ve potansiyel değerleme ayarlamalarıyla karşılaşabilir. Olay, geniş çaplı veri hırsızlığı için özellikle işletmeden işletmeye entegrasyonları hedef alan sofistike tehdit aktörlerine karşı sürekli izleme ve hızlı yanıt ihtiyacını pekiştirmektedir.

Geleceğe Bakış

Salesloft ihlalinin sonuçları Teknoloji Sektörü'nde dalgalanmaya devam edecek. Şirketler şu anda Salesforce ortamlarındaki tüm Salesloft bağlantılarını derhal kesmeye, ilgili yazılımları kaldırmaya ve Salesforce'a bağlı tüm üçüncü taraf uygulamaları ve entegrasyonları için kimlik bilgilerini döndürmeye çağrılıyor.

Önümüzdeki haftalarda ve aylarda, kimlik bilgisi iptali ve döndürme, şüpheli faaliyetler için kapsamlı günlük incelemesi ve denetimi ve tedarikçilerin güvenlik güvenceleri sonrasında entegrasyonların dikkatli bir şekilde yeniden kimlik doğrulaması dahil olmak üzere gelişmiş güvenlik protokollerinin yaygın olarak uygulanmasına odaklanılacaktır. Ayrıca, şirketlerin tüm SaaS entegrasyonları için çok faktörlü kimlik doğrulamayı (MFA) ve en az ayrıcalıklı erişimi uygulaması ve sıfır güven erişim kontrollerini benimsemesi beklenmektedir. Tüm API anahtarları ve sırları için düzenli döndürme programları ile proaktif kimlik bilgisi yönetimi standart hale gelecektir. Olay, kuruluşları üçüncü taraf satıcılarının güvenlik duruşlarını daha ayrıntılı bir şekilde incelemeye de teşvik edecek ve sektör genelindeki gelecekteki satıcı risk yönetimi stratejilerini şekillendirecektir.