Salesloft Drift saldırısının ardından şirketinizi nasıl korursunuz

Ağustos sonlarında, bilgisayar korsanları bir yapay zeka sohbet robotu platformunun iç işleyişine erişim sağladı ve o zamandan beri bu erişimi, Salesforce’tan Google Workspace’e kadar şirketlerin sohbet robotuyla entegre ettiği diğer uygulamalara girmek için kullanıyorlar.

Salesloft tarafından satın alınan bir sohbet robotu ajanı olan Drift, Amerikalı satış ve pazarlama ekipleri arasında popülerdir. Web sitesi ziyaretçilerini satış potansiyeline dönüştürmek için üçüncü taraf uygulamalarla entegre olur. Saldırganların Salesloft Drift’e nasıl girdiği şu anda belirsiz olsa da, oraya vardıklarında Salesforce, Google Workspace, Slack, Amazon S3, Microsoft Azure, OpenAI ve potansiyel olarak Salesloft ile entegre olan diğer herhangi bir platforma erişim sağlayan kimlik doğrulama kodlarını (belirteçlerini) çaldılar.

Şirketiniz Drift, Salesloft veya Salesforce entegrasyonlarını kullanıyorsa, bu ihlalden etkilenmiş olabilirsiniz. Güvenlik araştırmacıları, tüm OAuth kodlarını (belirteçlerini) derhal iptal etmenizi ve bağlı uygulamaları denetlemenizi öneriyor. Uzlaşma onayı beklemeyin — olduğunu varsayın ve şimdi harekete geçin.

Bunu yapmazsanız, saldırganlar bu kodları (belirteçleri) çevrim içi ortamlarınıza erişmek için kullanabilir.

Salesloft Drift saldırısı zaman çizelgesi

Salesloft, Drift entegrasyonlarını etkileyen bir güvenlik sorununu(yeni pencere) ilk olarak 20 Ağustos’ta açıkladı.

26 Ağustos’ta, Google’ın Tehdit İstihbarat Grubu, saldırganların Salesforce örneklerine erişmek ve büyük miktarda veri sızdırmak için Salesloft’tan çalınan OAuth kodlarını (belirteçlerini) kullandığını doğrulayan bulgular yayınladı(yeni pencere).

28 Ağustos’ta Google, saldırganların bu erişim kodlarını (belirteçlerini), Drift entegrasyonları olan “çok az sayıda Google Workspace hesabının” e-postalarına erişmek için de kullandığına dair bir güncelleme ekledi ve bu saldırının neredeyse tüm Drift entegrasyonlarını etkilediğini belirtti. Google, Slack, Amazon S3, Microsoft Azure ve OpenAI için geçerli kimlik doğrulama kodlarının (belirteçlerinin) da çalındığını iddia ediyor.

Sonuç olarak, Google ve Salesforce, Drift entegrasyonlarını geçici olarak devre dışı bıraktı.

1 Eylül’de Zscaler, Drift saldırısında çalınan OAuth ve yenileme kodları (belirteçleri) kullanılarak ele geçirildiğini doğruladı(yeni pencere). Saldırganlar Salesforce örneğine girdi ve isimler, e-postalar, iş unvanları, Zscaler ürün kullanım bilgileri ve daha fazlası dahil olmak üzere hassas müşteri bilgilerini çaldı.

Bu, Salesforce örneklerine yapılan ve Gmail ve Google Workspace kullanıcılarına yönelik kimlik avı saldırılarında artışa yol açan başka bir yakın tarihli saldırıyı takip ediyor. Krebs Security(yeni pencere)‘ye göre, iki saldırının ilişkili olup olmadığı konusunda anlaşmazlık var.

Tedarik zinciri saldırısı nedir?

Tedarik zinciri saldırısı, saldırganların bir kuruluşun sistemine girmek için üçüncü taraf bir satıcının peşine düşmesidir. Bu durumda, saldırganlar Gmail veya Salesforce’u doğrudan ihlal etmedi; bağlı sistemlere erişmek için Drift entegrasyonlarından OAuth kodlarını (belirteçlerini) ele geçirdiler.

Tedarik zinciri saldırısının en kötü şöhretli son örneklerinden biri, 2020’de SolarWinds(yeni pencere) ile yaşandı. SolarWinds, ağ yönetimi için büyük bir yazılım sağlayıcısıdır. Rusya destekli olduğu şüphelenilen bilgisayar korsanları SolarWinds’e saldırdı ve koduna kötü amaçlı yazılım yerleştirdi; bu yazılım daha sonra standart bir güncelleme sırasında 30.000’den fazla kamu ve özel kuruluşa yayıldı. Muhtemelen şimdiye kadarki en büyük tedarik zinciri saldırısıydı.

Yapay zeka sohbet robotları neden hedef olmaya devam edecek?

Drift gibi yapay zeka ajanlarını her türlü şirketteki sayısız iş akışına entegre etme telaşı, siber güvenlik ekiplerinin işlerini yapmasını zorlaştırdı ve yapay zeka şirketlerinin şimdiye kadar tedarik zinciri saldırılarına karşı savunmasız(yeni pencere) olduğu kanıtlandı. Yapay zeka benimsenmesinin hızlanması, teknolojinin yeniliği ve herkesin anında öğreniyor olması(yeni pencere) göz önüne alındığında, bu saldırılar daha yaygın hale gelecektir.

Yapay zeka ekosistemi olgunlaşana kadar en güvenli hareket, erişimi en aza indirmek, entegrasyonları sınırlamak ve sıfır güven için tasarlanmış platformları kullanmaktır. Bilgisayar korsanları her zaman bir şirketin güvenlik çevrelerindeki algılanan zayıflıkları hedeflemeye çalışacaktır. Entegrasyonlar, üçüncü taraf platformlar ve harici danışmanlar genellikle cazip hedefler olarak görülür. İşletmeler için veri ihlali önleme hakkında daha fazla bilgi edinin.