salesforce aura'da veri hırsızlığı saldırıları devam ediyor
arkadaşlar, salesforce’un başı dertte. shinyhunters diye bildiğimiz hacker çetesi, salesforce aura platformundaki bir açığı sömürerek aktif olarak veri çalıyor. salesforce ise “yok yok, bu yanlış yapılandırma meselesi” diyor ama shinyhunters “yeni bir bug kullanıyoruz” diye ısrar ediyor. bakalım gerçek ne, ama siz yine de önleminizi alın.
ne oluyor yani?
salesforce, experience cloud (eski adıyla community cloud) kullanan müşterilerine uyarı yayınlamış. şöyle ki: eğer guest user’lara (misafir kullanıcılara) gerekenden fazla yetki vermişseniz, bunlar sisteminize girip veri çalabiliyormuş. salesforce bunu “misconfiguration” yani yanlış yapılandırma diye adlandırıyor.
ama shinyhunters çetesi “biz yeni bir bug kullanıyoruz, bu sadece yapılandırma hatası değil” diyor ve aktif olarak şirketlerin verilerini çalıp şantaj yapıyorlar.
teknik detaylar
salesforce aura framework’ünde, experience cloud siteleri guest user’lara varsayılan olarak bazı yetkiler veriyor. eğer admin bu yetkileri doğru kısıtlamamışsa, misafir kullanıcılar:
- müşteri verilerine erişebiliyor
- dahili kayıtları görebiliyor
- hassas bilgileri çekebiliyor
shinyhunters’ın iddiasına göre, kendileri bu yetki kontrollerini bypass edecek bir yöntem bulmuşlar ve bunu aktif olarak kullanıyorlar.
spoiler: çete, çaldıkları verileri dark web’de satıyor veya şirketlere fidye talep ediyor.
etkilenen sistemler
| Platform | Durum |
|---|---|
| Salesforce Experience Cloud | ✅ Etkileniyor |
| Salesforce Aura Framework | ✅ Etkileniyor |
| Guest User Access olan siteler | ⚠️ Yüksek Risk |
| Diğer Salesforce ürünleri | ℹ️ Kontrol edin |
şimdi ne yapacaksınız
agalar, eğer salesforce experience cloud kullanıyorsanız hemen şunları yapın:
1. guest user yetkilerini kontrol edin
# Salesforce Setup'a girin
# Setup > Feature Settings > Digital Experiences > All Sites
# Her site için Guest User Profile'ı kontrol edin
yapmanız gerekenler:
- setup > users > profiles > guest user profile’a gidin
- object permissions’ı kontrol edin
- sadece gerekli olan read yetkilerini bırakın
- hassas objeler için tüm yetkileri kaldırın
2. sharing settings’i sıkılaştırın
# Setup > Security > Sharing Settings
# Her obje için Guest User Access'i "Private" yapın
3. field-level security’yi ayarlayın
- hassas alanları guest user’lardan gizleyin
- “view all” ve “modify all” yetkilerini kaldırın
- sadece zorunlu alanları görünür yapın
4. audit logları kontrol edin
salesforce’ta şu logları kontrol edin:
# Setup > Security > Login History
# Setup > Security > Field History Tracking
# Setup > Security > Setup Audit Trail
anormal guest user aktivitesi var mı diye bakın. özellikle:
- çok sayıda kayıt erişimi
- bulk data export işlemleri
- beklenmedik api çağrıları
geçici çözümler
eğer hemen düzeltme yapamıyorsanız:
- guest user access’i tamamen kapatın (eğer iş kritik değilse)
- ip kısıtlaması yapın - sadece bilinen ip’lerden erişim
- rate limiting ekleyin - çok sayıda sorgu yapılamaz
- waf kuralları ekleyin - anormal trafiği engelleyin
dikkat: guest user access’i kapatmak, public formlarınızı ve portallarınızı etkiler. önce business impact’i değerlendirin.
salesforce’un önerileri
salesforce resmi olarak şunları söylüyor:
- guest user permissions’ları minimum seviyede tutun
- “with sharing” keyword’ünü apex class’larınızda kullanın
- object-level, field-level ve record-level security’yi kontrol edin
- düzenli security review yapın
edit: salesforce henüz bir CVE numarası yayınlamadı. shinyhunters’ın iddia ettiği “yeni bug” konusunda resmi açıklama yok.
bu saldırılar ne kadar ciddi?
shinyhunters, geçmişte büyük veri sızıntılarında adı geçmiş bir çete. at&t, ticketmaster gibi devlerin verilerini çalmışlar. yani ciddiye almak lazım.
eğer salesforce experience cloud kullanıyorsanız:
- acil olarak guest user yetkilerini kontrol edin
- log’larınızı inceleyin
- anormal aktivite varsa hemen salesforce support’a bildirin
- gerekirse incident response planınızı aktive edin
kaynaklar
- BleepingComputer - Orijinal Haber
- Salesforce Security Advisory
- Salesforce Guest User Security Best Practices
arkadaşlar, salesforce kullanan sistem yöneticileri için kritik bir durum bu. özellikle experience cloud’da guest user access açık olan siteleriniz varsa hemen kontrol edin. shinyhunters şakacı bir çete değil, ciddi ciddi veri çalıp şantaj yapıyorlar.
son not: salesforce “bu yapılandırma hatası” diyor, shinyhunters “hayır yeni bug” diyor. gerçek ne olursa olsun, siz yine de guest user yetkilerinizi minimum seviyeye çekin. sonra “benim salesforce’um hacklendi” diye ağlamayın.
test ortamında önce deneyin, sonra production’a geçin. ve yedek alın, her zaman yedek alın.
Bu içerik yapay zeka tarafından oluşturulmuştur.