ShinyHunters olarak bilinen veri gasp grubu, son bir yıldır Salesforce ortamlarına sızmak için herhangi bir platform açığı kullanmıyor. Bunun yerine, şirketlerin kendi kurdukları güven ilişkilerini istismar ediyorlar. Microsoft'un yayınladığı yeni bir araştırmaya göre, saldırganlar özellikle OAuth bağlantıları üzerinden Salesforce'u diğer uygulamalara ve üçüncü taraf satıcılara bağlayan güven zincirini hedef alıyor. Bu yöntem, geleneksel güvenlik önlemlerini atlatarak fark edilmeden verilere erişmelerini sağlıyor.
Microsoft, Temmuz 2026'da yayınladığı raporda, 2025 ortasından 2026 ortasına kadar süren kampanyaları üç farklı teknik altında topladı. Ayrıca Salesforce ile işbirliği yaparak, bu tür etkinlikleri tespit etmek için yeni algılama ve yönetişim araçları geliştirdi. Sorun şu ki, erişim gerçek bir kullanıcı tarafından onaylanmış bir bağlantılı uygulamadan veya şirketin zaten güvendiği bir entegrasyondan geldiğinde, trafik normal kullanım gibi görünüyor ve oturum açma ile kimlik doğrulama izleme sistemleri bunu fark etmiyor. Asıl önemli olan, uygulamanın veya hesabın içeri girdikten sonra ne yaptığı ve Salesforce günlük kaydı çoğu zaman bunu göstermek için tasarlanmamış.
Microsoft'un belirlediği ilk saldırı yolu, vishing (sesli phishing) aramaları. 2025 ortasında başlayan bu kampanyada, saldırganlar BT destek personeli gibi davranarak çalışanları aradı ve onları Salesforce'un OAuth izin ekranında bir bağlantılı uygulamayı onaylamaya ikna etti. Bu uygulama, Salesforce'un kendi Data Loader aracı gibi görünüyordu. İzin verildikten sonra, uygulama o kullanıcı adına API çağrıları yaparak Salesforce verilerini enumerate edebiliyor, CRM kayıtlarına kalıcı erişim sağlıyor ve diğer SaaS platformlarına geçiş için kimlik bilgileri avlıyordu. Google'ın Threat Intelligence Group (GTIG) ve Mandiant tarafından belgelenen bu kampanya, Chanel, Pandora, Adidas, Qantas gibi büyük markaları hedef aldı.
Sonuç ve Değerlendirme
İkinci yol, çalışanı tamamen atlıyor. Saldırganlar, müşterilerinin Salesforce ortamlarına zaten OAuth erişimi olan üçüncü taraf bir satıcıyı hedef alıyor, bağlantı sırlarını veya token'larını çalıyor ve bunları tek seferde birçok alt Salesforce instance'ına erişmek için kullanıyor. Bu trafik, onaylanmış bir entegrasyondan geldiği için oturum açma alarmlarını tetiklemiyor. Microsoft burada üç olaya dikkat çekiyor: Ağustos 2025'teki Salesloft Drift ihlali, Kasım 2025'teki Gainsight olayı ve Haziran 2026'daki Klue ihlali. Bu saldırılarda, Drift AI sohbet entegrasyonu, Gainsight uygulamaları ve Klue platformu üzerinden yüzlerce kuruluşun verileri çalındı.
Üçüncü yol ise hiçbir kimlik bilgisi gerektirmiyor. Microsoft, Salesforce Aura uç noktalarına karşı şüpheli misafir kullanıcı etkinliklerinde artış gözlemledi. Experience Cloud sitelerinin arkasındaki bu framework'te, misafir kullanıcı izinleri yanlış yapılandırıldığında, saldırganlar herhangi bir oturum açma olmadan Aura işlevselliğine erişebiliyor. Bu yöntem, özellikle perakende, eğitim ve imalat sektörlerindeki Salesforce kiracılarında görüldü.
Önemli Gelişmeler
Bu saldırılara karşı korunmak için şirketlerin alabileceği önlemler var. Öncelikle, çalışanları vishing aramalarına karşı eğitmek ve asla bilinmeyen kaynaklardan gelen uygulamaları onaylamamaları gerektiğini vurgulamak kritik. Ayrıca, üçüncü taraf entegrasyonlarının OAuth token'larını düzenli olarak denetlemek ve yalnızca gerekli izinleri vermek önemli. Salesforce yöneticileri, misafir kullanıcı erişimini kısıtlamalı ve Aura uç noktalarına erişimi izlemeli. Microsoft ve Salesforce'un yeni araçları, bu tür anormal etkinlikleri tespit etmeye yardımcı olabilir.
ShinyHunters'ın bu yöntemleri, geleneksel güvenlik önlemlerinin yetersiz kaldığını gösteriyor. Şirketler, yalnızca platform açıklarına odaklanmak yerine, güvenilen bağlantıların ve kimlik doğrulama süreçlerinin kötüye kullanımına karşı da hazırlıklı olmalı. OAuth token yönetimi, çalışan farkındalığı ve sürekli izleme, bu tür saldırılara karşı en etkili savunma hatlarını oluşturuyor.
Kaynak: thehackernews.com