Cloudflare Salesforce İhlali: 104 API Token’ı Çalındı, Binlerce Müşteri Etkilendi

Cloudflare, müşteri destek sistemlerinde yaşanan ciddi bir güvenlik ihlali nedeniyle özür dileyen detaylı bir açıklama yayınladı. Salesloft Drift entegrasyonunu hedef alan sofistike bir siber saldırı sonucunda, şirketin Salesforce ortamından hassas müşteri bilgileri çalındı ve 104 adet API token’ı tehlikeye girdi.

Saldırının Boyutu ve Etkileri

Ağustos ayında gerçekleşen bu güvenlik ihlali, sadece Cloudflare’i değil, aynı zamanda yüzlerce farklı organizasyonu etkileyen geniş çaplı bir tedarik zinciri saldırısının parçasıydı. Cloudflare’in güvenlik ekibi tarafından GRUB1 kod adı verilen tehdit aktörü, 9-17 Ağustos tarihleri arasında sistematik bir şekilde şirketin Salesforce ortamını hedef aldı.

İhlalin en endişe verici yanı, saldırganların müşteri destek biletlerinin içeriklerine erişmiş olmalarıydı. Bu biletler, müşterilerin Cloudflare ile paylaştığı hassas bilgileri – API anahtarları, erişim token’ları, yapılandırma detayları ve hatta şifreler – içeriyor olabiliyordu. Şirket, bu kanaldan paylaşılan tüm bilgilerin artık tehlikeye girmiş olarak kabul edilmesi gerektiğini açıkça belirtti.

Saldırının Kronolojisi

Adli araştırmanın ortaya koyduğu veriler, saldırının son derece planl ve metodical bir şekilde gerçekleştirildiğini gösteriyor. Tehdit aktörü önce 9 Ağustos’ta keşif aşamasına başladı ve Trufflehog adlı açık kaynaklı araç kullanarak Cloudflare API’sine doğrulama istekleri gönderdi. İlk denemeler başarısız olsa da, bu durum saldırganın vazgeçmesine neden olmadı.

12 Ağustos’ta gerçek saldırı başladı. GRUB1, çalıntı kimlik bilgileri kullanarak Cloudflare’in Salesforce ortamına sızdı ve sistematik olarak mevcut verileri haritalamaya başladı. Saldırgan, sadece veri çalmakla kalmadı, aynı zamanda ortamın yapısını, güvenlik önlemlerini ve API sınırlarını da titizlikle analiz etti.

Takip eden günlerde, tehdit aktörü Salesforce ortamının derinlemesine keşfini yaptı. Hesap sayıları, kullanıcı profilleri, vaka iş akışları gibi kritik bilgileri topladı ve sistemin operasyonel sınırlarını öğrendi. Bu aşama, saldırganın tespit edilmeden nasıl hareket edeceğini planlaması açısından kritik öneme sahipti.

Nihai Saldırı ve Veri Sızdırma

17 Ağustos’ta, hazırlık aşamasını tamamlayan GRUB1, ana operasyona geçti. Yeni bir IP adresinden (208.68.36.90) sisteme giriş yapan saldırgan, Salesforce’un Bulk API 2.0 özelliğini kullanarak sadece üç dakika içinde büyük miktarda veriyi çıkardı. Bu teknik yaklaşım, saldırganın deneyimli ve sofistike olduğunu gösteriyor.

Saldırının en sinsi yanı, GRUB1’in izlerini kapatmaya çalışması oldu. Veri çalma işlemini tamamladıktan sonra, API işini silerek kanıtları gizlemeye çalıştı. Ancak Cloudflare’in güvenlik ekibi, sistemi kayıtlarından saldırıyı yeniden inşa edebilmeyi başardı.

Cloudflare’in Yanıtı ve Alınan Önlemler

23 Ağustos’ta Salesforce ve Salesloft tarafından bilgilendirilen Cloudflare, derhal kapsamlı bir güvenlik operasyonu başlattı. Şirketin yanıtı dört ana eksende şekillendi: tehdit aktörünün erişiminin kesilmesi, üçüncü taraf ekosisteminin güvence altına alınması, sistem bütünlüğünün korunması ve müşteri etki analizinin yapılması.

İlk adım olarak, tüm Salesloft entegrasyonları devre dışı bırakıldı ve ilgili yazılımlar Cloudflare sistemlerinden tamamen temizlendi. Ardından, tüm üçüncü taraf hizmetler için yeni sırlar yayınlandı ve haftalık rotasyon süreci uygulamaya kondu.

En kritik adımlardan biri, çalınan verilerin analiz edilmesi oldu. Cloudflare’in ekipleri, regex ve entropi analizi teknikleri kullanarak özel tarama araçları geliştirdi ve maruz kalan 104 API token’ını tespit etti. Bu token’ların hiçbirinde şüpheli aktivite gözlemlenmemesine rağmen, tümü güvenlik amacıyla iptal edildi.

Sektörel Etkiler ve Öneriler

Bu saldırının sadece Cloudflare’i değil, aynı aracı kullanan yüzlerce organizasyonu etkilediği gerçeği, modern işletmelerin karşı karşıya olduğu birbirine bağlı riskleri gözler önüne seriyor. Tek bir entegrasyon noktasının tehlikeye girmesi, geniş bir ekosistemi etkileyebiliyor.

Cloudflare, diğer organizasyonlara yönelik kapsamlı öneriler sundu. Bunlar arasında tüm Salesloft bağlantılarının derhal kesilmesi, kimlik bilgilerinin döndürülmesi, düzenli rotasyon programlarının uygulanması ve en az ayrıcalık prensibinin benimsenmesi yer alıyor.

Şirket ayrıca, gelişmiş izleme sistemlerinin kurulması ve anomalilerin tespit edilmesi için teknolojik yatırımların önemini vurguladı. Bilinmeyen lokasyonlardan gelen büyük veri transferleri gibi şüpheli aktivitelerin erken tespit edilmesi, benzer saldırıların önlenmesi açısından kritik.

Güvenlik Topluluğu için Tehdit İstihbaratı

Cloudflare, şeffaflık ilkesi gereği, saldırıyla ilgili teknik detayları ve Uzlaşma Göstergelerini (IOC) kamuoyu ile paylaştı. GRUB1 tarafından kullanılan IP adresleri, kullanıcı ajanları ve saldırı araçları hakkındaki bilgiler, diğer organizasyonların kendi sistemlerini kontrol etmeleri için kritik önem taşıyor.

208.68.36.90 ve 44.215.108.109 IP adreslerinden gelen trafik, Trufflehog ve çeşitli Salesforce araçları kullanım izleri, saldırganın izini sürmek isteyen güvenlik ekipleri için değerli referanslar oluşturuyor.

Sonuç ve Geleceğe Bakış

Bu olay, hem Cloudflare hem de genel olarak teknoloji sektörü için önemli dersler içeriyor. Şirket, müşterilerine verdiği zarardan dolayı samimi özür dilerken, aynı zamanda sorumluluk aldığını da açık bir şekilde belirtti. Seçilen araçlardan ve bunların güvenlik açıklarından sorumlu olduklarını kabul eden Cloudflare, gelecekte benzer olayları önlemek için yeni güvenlik yetenekleri geliştirme sözü verdi.

Cloudforce One ekibinin yakında yayınlayacağı detaylı analiz raporu, GRUB1’in taktiklerini daha derinlemesine inceleyecek ve güvenlik topluluğuna değerli bilgiler sunacak. Bu yaklaşım, sektörün kolektif güvenlik kapasitesini artırma açısından önem taşıyor.

Sonuç olarak, bu güvenlik ihlali modern işletmelerin karşı karşıya olduğu karmaşık tehdit ortamını ve proaktif güvenlik önlemlerinin önemini bir kez daha gözler önüne serdi. Üçüncü taraf entegrasyonların dikkatli yönetimi, düzenli güvenlik denetimleri ve hızlı yanıt kabiliyetleri, gelecekteki tehditlere karşı en etkili savunma stratejileri olarak öne çıkıyor.