
Tarihin En Büyük Kurumsal Veri Sızıntılarından Biri
ShinyHunters adlı fidye grubu, tarihin en büyük kurumsal veri hırsızlıklarından birine imza attığını iddia ediyor. Grup, Salesloft Drift OAuth jetonlarını kullanarak 760 farklı şirketin Salesforce sistemlerinden toplamda 1,5 milyardan fazla kaydı ele geçirdiğini iddia etti. Bu veriler arasında müşteri bilgileri, şirket içi yazışmalar, fırsat kayıtları ve kullanıcı hesapları bulunuyor.
Nasıl Gerçekleşti?
ShinyHunters, saldırılarında sosyal mühendislik yöntemleri ve kötü amaçlı OAuth uygulamaları kullandı. Mart ayında Salesloft’un GitHub deposuna sızan tehdit aktörleri, burada şirketin özel kaynak kodlarını ele geçirdi. Daha sonra TruffleHog isimli güvenlik aracını kullanarak kaynak kodu taradılar ve Salesforce Drift ve Drift Email platformlarını bağlayan kritik OAuth jetonlarını keşfettiler.
Bu jetonlar sayesinde, Salesforce’un en değerli tablolarından veri çekilebildi. Grup, özellikle şu tablolardan devasa hacimde bilgi çaldığını belirtiyor:
- Account: 250 milyon kayıt
- Contact: 579 milyon kayıt
- Opportunity: 171 milyon kayıt
- User: 60 milyon kayıt
- Case: 459 milyon kayıt
“Case” Verilerindeki Kritik Tehlike
Çalınan “Case” verileri, şirketlerin müşteri destek taleplerini ve bu taleplerle ilgili yazışmaları içeriyor. Özellikle teknoloji şirketlerinde bu kayıtların parolalar, erişim anahtarları ve kimlik doğrulama jetonları gibi son derece hassas bilgiler barındırdığı tespit edildi.
Google Tehdit İstihbaratı (Mandiant), saldırganların bu verileri yalnızca satmak veya fidye için kullanmakla kalmadığını, aynı zamanda elde edilen kimlik bilgilerini AWS erişim anahtarları, Snowflake jetonları ve diğer kritik servis parolalarına ulaşmak için kullandığını açıkladı.
“Veriler sızdırıldıktan sonra, aktör kurban ortamlarını tehlikeye atmak için potansiyel olarak kullanılabilecek gizli bilgileri bulmak amacıyla verileri taradı.” –Google
Dünyaca Ünlü Şirketler Hedef Oldu
Çalınan Drift ve Drift Email jetonları, sadece küçük ölçekli şirketleri değil, Google, Cloudflare, Zscaler, Tenable, CyberArk, Elastic, BeyondTrust, Proofpoint, JFrog, Nutanix, Qualys, Rubrik, Cato Networks, Palo Alto Networks gibi dünya devlerini hedef alan geniş çaplı saldırılarda kullanıldı.
Bu durum, saldırının etkilerini yalnızca CRM sistemleriyle sınırlı bırakmayarak küresel ölçekte çok daha büyük bir güvenlik krizine dönüştürüyor.
ShinyHunters’ın Yeni Kimliği: “Scattered Lapsus$ Hunters”
Saldırılardan ShinyHunters’ın yanı sıra Scattered Spider ve Lapsus$ gruplarının da sorumlu olabileceği konuşuluyor. Grup, artık kendilerini “Scattered Lapsus$ Hunters” olarak adlandırıyor.
Google bu tehdit aktörlerini UNC6040 ve UNC6395 olarak takip ediyor. FBI ise kısa süre önce yayınladığı güvenlik bülteninde saldırılarda tespit edilen IOC’leri (Indicator of Compromise) kurumlarla paylaştı.
“Emeklilik” İlanı ve Yeni İddialar
Tehdit aktörleri, geçtiğimiz hafta Telegram’da yaptıkları açıklamada operasyonları bırakacaklarını ve “ortadan kaybolacaklarını” duyurdu. Ancak ReliaQuest araştırmacıları, grubun 2025 Temmuz ayında finans kuruluşlarını hedef almaya başladığını ve saldırıların devam edebileceğini bildiriyor.
Veda mesajlarında aktörler ayrıca, Google’ın Kolluk Kuvvetleri Talep Sistemi (LERS) ve FBI’ın arka plan kontrollerinde kullandığı eCheck platformuna sızdıklarını iddia etti. Google, LERS platformuna sahte bir hesabın eklendiğini doğruladı ancak bu hesap üzerinden herhangi bir veri talebinde bulunulmadığını belirtti.
“Sistemimizde kolluk kuvvetleri talepleri için sahte bir hesap oluşturulduğunu tespit ettik ve hesabı devre dışı bıraktık. Bu sahte hesapla hiçbir talep yapılmadı ve hiçbir veriye erişilmedi.” — Google
Salesforce’tan Güvenlik Uyarısı
Salesforce, yaşanan saldırıların ardından müşterilerine güvenlik en iyi uygulamalarını hatırlattı. Şirket, özellikle:
- Çok faktörlü kimlik doğrulamanın (MFA) zorunlu hale getirilmesi,
- Asgari ayrıcalık prensibinin uygulanması,
- Bağlı uygulamaların dikkatli yönetilmesi







