Türkiye'nin önde gelen teknoloji haber portalı olarak SenNexus'tan aldığımız bilgilere göre, siber güvenlik dünyasında büyük yankı uyandıran bir tedarik zinciri saldırısı, teknoloji devi Google tarafından resmi olarak doğrulandı. Google, popüler müşteri destek platformu Gainsight uygulamaları üzerinden gerçekleşen bu ihlalde, 200'den fazla şirkete ait Salesforce'da depolanan kritik verilerin çalındığını açıkladı.
Perşembe günü Salesforce, 'belirli müşterilerinin Salesforce verilerinin' çalındığını duyurmuş, ancak etkilenen şirketlerin adını vermemişti. Gainsight'ın web sitesinde Airtable, Notion ve GitLab gibi büyük kurumsal müşterilerin listelenmesi, ihlalin potansiyel etkisinin ne denli büyük olduğunu gösteriyor. Olayın merkezinde, şirketlere müşteri deneyimi platformu sağlayan Gainsight'in uygulamaları bulunuyordu.
Saldırının Ardındaki Güç: Scattered Lapsus$ Hunters
Bu büyük çaplı saldırının sorumluluğunu, kötü şöhretli ve parçalı bir hacker grubu olan Scattered Lapsus$ Hunters üstlendi. Bu grubun içinde, daha önce büyük ihlallerle adını duyuran ShinyHunters çetesi de yer alıyor. Hacker grubu, Telegram üzerinden yaptıkları açıklamada Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters ve Verizon gibi dev markaları hedef aldıklarını iddia etti.
Google Tehdit İstihbarat Grubu'ndan Austin Larsen, yaptığı açıklamada, şirketin "potansiyel olarak etkilenen 200'den fazla Salesforce örneğinin" farkında olduğunu belirtti. Bu, saldırının küresel ölçekte ne kadar ciddi olduğunu gösteriyor.
Tedarik Zinciri Kırılması ve Şirketlerin Çelişkili Tepkileri
Bu saldırı, birincil hedef yerine, daha az korunaklı üçüncü taraf bir aracı (Gainsight) üzerinden sistemlere sızılmasıyla tipik bir tedarik zinciri ihlali örneği teşkil ediyor. ShinyHunters grubu, Gainsight'a erişimi, daha önceki bir saldırı kampanyasında Salesloft müşterilerinden çaldıkları Drift kimlik doğrulama belirteçleri sayesinde sağladıklarını iddia etti. Bu saldırı modeli, Ağustos ayında yaşanan ve saldırganların müşterilerin bağlı Salesforce örneklerine girerek erişim belirteçleri (access tokens) çaldığı Salesloft ihlali ile dikkat çekici benzerlikler taşımaktadır. Ayrıca Gainsight, daha önceki Salesloft bağlantılı ihlallerin kurbanları arasında olduğunu da doğrulamıştı.
Kritik Şirket Yanıtları ve Eleştirel Bakış
Saldırının ciddiyeti karşısında birçok şirket inceleme başlattı, ancak iddialar konusunda tam bir fikir birliği yok:
- Salesforce: Platformlarında bir güvenlik açığı olmadığını belirterek sorumluluğu Gainsight'a yükledi. Önlem olarak Gainsight ile bağlantılı uygulamaların aktif erişim belirteçlerini geçici olarak iptal etti.
- Gainsight: İhlalin Salesforce platformundaki bir açıktan değil, uygulamalarının harici bağlantısından kaynaklandığını doğruladı ve olayı araştırmak için Google'ın Mandiant birimi ile işbirliği yapıyor.
- CrowdStrike: Gainsight sorunundan etkilenmediklerini iddia etse de, sızdığı iddia edilen bilgileri hackerlara aktardığı gerekçesiyle bir 'şüpheli içeriden çalışanı' işten çıkardığını doğruladı. Şirket, içeriden bilgi sızdıran bu kişinin yalnızca şirket bilgisayar ekranının resimlerini harici olarak paylaştığını, ancak ana sistemlerinin veya müşteri verilerinin asla tehlikeye girmediğini savunuyor. Bu olay, siber güvenlik devinin bile içeriden bilgi sızdıran çalışanı kovduğu siber güvenlik krizi ile hacker grubunun iddialarının bir kısmının başka yollarla da olsa gerçek olabileceği şüphesini doğuruyor.
- Docusign: Kapsamlı bir inceleme sonrası şu anda bir veri ihlali göstergesi bulamadı ancak 'ihtiyatlılık gereği' Gainsight entegrasyonlarını sonlandırdı.
Uzman Görüşü: Tedarik Zinciri Saldırılarının Yükselişi
Bu olay, modern işletmelerin siber güvenlik haritasındaki en büyük kör noktasını gözler önüne seriyor: Tedarik Zinciri Riski. Bir şirketin kendi güvenliği ne kadar sıkı olursa olsun, kullandığı en ufak bir üçüncü taraf uygulama (bu örnekte Gainsight) veya hizmet sağlayıcısının (Salesloft) güvenliği zayıfsa, tüm zincir kırılabilir. Firmaların, iş ortaklarını seçerken sadece işlevsellik değil, siber güvenlik olgunluğunu da esas alması hayati önem taşıyor.
Hackerlar Fidyeyi Hazırlıyor
Scattered Lapsus$ Hunters grubu, önceki operasyonlarında olduğu gibi bu kampanyanın kurbanlarından fidye almak amacıyla önümüzdeki hafta özel bir web sitesi kurmayı planladığını duyurdu. Bu, grubun veri hırsızlığını doğrudan finansal kazanca dönüştürme taktiğinin bir parçası. Bu tür finansal motivasyonlu siber suçlular, kolluk kuvvetlerinin yasal taleplerine karşı dayanıklı olduğunu iddia eden "kurşun geçirmez" (bulletproof) web barındırma hizmetleri aracılığıyla desteklenmektedir. Grup, sosyal mühendislik taktiklerini kullanarak çalışanları kandırmasıyla tanınıyor ve daha önce MGM Resorts, Coinbase ve DoorDash gibi yüksek profilli kurbanları hedef almıştı.
Scattered Lapsus$ Hunters'ın önceki kampanyaları, sadece teknoloji firmalarıyla sınırlı kalmadı; grup, finansal motivasyonla hareket ederek sigorta devi Allianz Life, havayolu şirketi Qantas, otomobil üreticisi Stellantis, kredi bürosu TransUnion ve çalışan yönetim platformu Workday gibi devlerden 1 milyardan fazla kaydı çaldığını iddia etmişti. Bu durum, saldırının sadece yazılım şirketlerini değil, bulut entegrasyonlarını kullanan her sektörü tehdit ettiğini gösteriyor.
Bu gelişme, bulut tabanlı hizmetlere ve üçüncü taraf entegrasyonlara güvenen tüm küresel şirketler için acil bir alarm niteliği taşımaktadır.
Kaynak: Google’ın Onayladığı Büyük Siber Saldırı ve Gainsight İhlali Hakkında Detaylı Bilgi
