Google, kurumsal Salesforce CRM sistemlerinden birinde yaşanan ve potansiyel Google Ads müşterilerini etkileyen veri ihlalini doğruladı. Şirketin iletişim ve satış süreçlerinde kullandığı platformda meydana gelen olay, sınırlı sayıda bilginin yetkisiz kişilerce ele geçirilmesiyle sonuçlandı.
Hangi Veriler Sızdırıldı?
Google’ın resmi açıklamasına göre, saldırıda işletme adları, telefon numaraları ve satış temsilcilerinin geri dönüş notları yer aldı. Şirket, ödeme bilgileri, Google Ads hesap verileri, Merchant Center, Google Analytics ve diğer reklam ürünlerinin etkilenmediğini özellikle vurguladı.
Saldırının Arkasındaki Grup: “Sp1d3rHunters”
Olayın, daha önce ShinyHunters adıyla bilinen ve uzun süredir aktif olan bir siber tehdit grubunca gerçekleştirildiği tespit edildi. Grup, “Scattered Spider” olarak bilinen başka bir ekiple iş birliği yaptığını ve artık kendilerini “Sp1d3rHunters” olarak tanıttıklarını açıkladı. Bu ekipler, genellikle sosyal mühendislik yöntemleriyle çalışanların kimlik bilgilerini ele geçiriyor ve bu sayede kritik sistemlere erişim sağlıyor.
Saldırının Yöntemi
Saldırganlar, hedeflenen çalışanların kimlik bilgilerini elde ettikten sonra kötü amaçlı bir Salesforce Data Loader OAuth uygulamasını yetkilendirerek tüm veritabanını indirdi. Google’ın da aralarında bulunduğu şirketlere, ele geçirilen veriler karşılığında 20 Bitcoin (yaklaşık 2,3 milyon dolar) fidye talep edildiği ortaya çıktı. Ancak tehdit aktörlerinin bu talebi ciddi şekilde takip etmediği bildirildi.
Yeni Nesil Araçlarla Daha Hızlı Veri Hırsızlığı
ShinyHunters, saldırılarda özel olarak geliştirilmiş Python tabanlı bir araç kullandığını açıkladı. Bu araç sayesinde Salesforce verilerinin çok daha hızlı indirilebildiği belirtildi. Google da saldırıda bu yeni aracın kullanıldığını doğruladı.
Google’ın Yanıtı
Şirket, olayın ardından ek güvenlik önlemlerini devreye aldığını ve ilgili sistemlerde incelemelerin sürdüğünü ifade etti. Google, kullanıcı verilerinin güvenliğinin kendileri için öncelik olduğunu vurguladı.
Bu saldırı, özellikle B2B satış süreçlerinde kullanılan CRM sistemlerinin siber tehdit grupları için cazip hedefler olduğunu bir kez daha ortaya koyuyor. Özellikle Salesforce gibi yaygın kullanılan platformlarda OAuth yetkilendirmeleri üzerinden gerçekleştirilen veri ihlalleri, şirketlerin erişim kontrol ve kimlik doğrulama politikalarını güçlendirmesi gerektiğini gösteriyor.
