Dünyanın önde gelen müşteri ilişkileri yönetimi (CRM) devi Salesforce, bazı müşterilerine ait kritik verilerin ihlal edildiğini duyurdu. Şirket Çarşamba günü geç saatlerde yaptığı açıklamada, sızıntının doğrudan Salesforce platformundaki bir güvenlik açığından değil, Gainsight tarafından yayınlanan ve müşteriler tarafından kurulan uygulamalar üzerinden gerçekleştiğini bildirdi. Gainsight, şirketlerin müşteri yönetimini sağlayan bir platform sunuyor.

İhlalin Kaynağı: Üçüncü Taraf Bağlantılar

Salesforce, yayımladığı bildiride, saldırının “Gainsight tarafından yayınlanan ve müşteriler tarafından doğrudan kurulan ve yönetilen, Salesforce'a bağlı uygulamalar” aracılığıyla gerçekleştiğini belirtti. Şirket, sorunun kendi platformlarındaki bir güvenlik zafiyetinden kaynaklanmadığını vurgulayarak, olayın Gainsight'ın “Salesforce'a olan harici bağlantısıyla” ilişkili olduğunu öne sürdü.

Salesforce, platformunda herhangi bir güvenlik açığı belirtisi bulunmadığını ve faaliyetin Gainsight'ın Salesforce ile olan dış bağlantısından kaynaklandığını düşünüyor. Ancak bu durum, milyonlarca işletmenin güvendiği kritik verilerin üçüncü taraf entegrasyonlar yoluyla ne kadar kolay risk altına girebileceği sorusunu gündeme getiriyor.

ShinyHunters Tehdidi ve Fidye İddiaları

Siber güvenlik haber sitesi DataBreaches.net'e konuşan ünlü hacker grubu ShinyHunters, ihlalin arkasında olduklarını iddia etti. Grup, Salesforce ile müzakere edilmemesi halinde çalınan verileri ifşa etmek için yeni bir web sitesi kurma tehdidinde bulundu. Bu, finansal motivasyonlu siber suçluların yaygın olarak kullandığı bir fidye taktiğidir.

Bu tür büyük ölçekli ve finansal motivasyonlu siber operasyonlar, genellikle kolluk kuvvetlerinin yasal taleplerine karşı dayanıklı olduğunu iddia eden "kurşun geçirmez" (bulletproof) web barındırma hizmetleri aracılığıyla desteklenmektedir. Bu hizmetler, siber suçluların kötü amaçlı altyapılarını barındırması için ideal ortamı sağlar. Bu küresel tehditlerle mücadele kapsamında, son dönemde ABD, İngiltere ve Avustralya, fidye yazılım saldırılarında kullanılan Rus merkezli bu tür kurşun geçirmez web hostlarına yaptırım uygulayarak siber suçluların operasyonel maliyetini artırmayı hedeflemiştir.

ShinyHunters, bir önceki Salesloft kampanyasına ait verilerle birlikte Gainsight kampanyasının verilerini de yayınlayacaklarını iddia ederek binlerce şirkete ait veriyi çaldıklarını öne sürüyor.

Geçmişteki Salesloft Olayıyla Benzerlik

Mevcut saldırı, Ağustos ayında yapay zeka pazarlama sohbet botu üreticisi Salesloft'ta yaşanan ve benzer bir mekanizma ile gerçekleştirilen veri ihlali ile dikkat çekici benzerlikler taşıyor. Salesloft vakasında, saldırganlar müşterilerin bağlı Salesforce örneklerine girerek erişim belirteçleri (access tokens) gibi hassas verileri çalmıştı. Salesloft kurbanları arasında Allianz Life, Cloudflare, Google, Qantas, Stellantis ve Workday gibi dev isimler yer alıyordu.

İlginç bir şekilde, Gainsight daha önce Salesloft bağlantılı bu ihlallerin kurbanları arasında olduğunu doğrulamıştı. Bu durum, yeni saldırı dalgasının, Gainsight'ın daha önceki uzlaşmasından kaynaklanıp kaynaklanmadığı sorusunu akıllara getiriyor. Şirketlerin, üçüncü taraf sağlayıcılarla olan entegrasyonlarını sürekli olarak denetlemesi ve en zayıf halka olan bu bağlantıları güçlendirmesi kritik önem taşıyor.

Sonuç ve Güvenlik Dersleri

Salesforce, platform güvenliğinin doğrudan tehlikede olmadığını iddia etse de, bu olaylar modern kurumsal yapının en büyük risklerinden birini, yani tedarik zinciri saldırılarını gözler önüne seriyor. Bir platformun ne kadar güvenli olursa olsun, onunla entegre olan üçüncü parti bir uygulamanın zafiyeti, yüzlerce kurumsal müşterinin verisinin tehlikeye girmesi için yeterli olmaktadır. Şirketlerin, kullandıkları her harici hizmetin güvenlik protokollerini titizlikle incelemesi gerekmektedir.

Kaynak: Salesforce ve Gainsight Veri İhlali Detayları