Vercel'de Güvenlik İhlali

Web geliştirme dünyasının en bilinen platformlarından Vercel, ciddi bir güvenlik ihlaline maruz kaldığını açıkladı. Şirketin 19 Nisan 2026'da yayımladığı güvenlik bülteninde, iç sistemlerine yetkisiz erişim sağlandığı duyuruldu.

Saldırının başlangıç noktası, şirketin geliştirdiği bir ürün değil; bir çalışanın kullandığı üçüncü parti bir yapay zekâ aracıydı. Vercel'in açıklamasına göre saldırı, Context.ai adlı yapay zekâ aracının ele geçirilmesiyle başladı. Saldırgan bu erişimi kullanarak çalışanın Google Workspace hesabını devraldı ve buradan bazı Vercel ortamlarına ve "hassas" olarak işaretlenmemiş ortam değişkenlerine ulaştı.

Vercel, "hassas" olarak işaretlenen ortam değişkenlerinin okunamayacak biçimde saklandığını ve bu değerlere erişildiğine dair bir kanıt bulunmadığını belirtti. Şirket, saldırganı operasyonel hızı ve Vercel sistemlerine dair detaylı bilgisi nedeniyle "son derece sofistike" olarak tanımladı. Olayın soruşturmasına Google Mandiant başta olmak üzere birden fazla siber güvenlik firması ve kolluk kuvvetleri dahil oldu.

Olayı daha da karmaşıklaştıran bir gelişme de yaşandı. ShinyHunters olduğunu iddia eden bir tehdit aktörü, BreachForums adlı hacker forumunda Vercel'e ait erişim anahtarları, kaynak kod ve veritabanı bilgilerini sattığını öne sürdü; pazarlık payı ile birlikte 2 milyon dolar talep ettiği bildirildi. Vercel bu iddiaları doğrulamadı ancak şirketin olay yayımlamadan önce de saldırgan tarafla fidye görüşmesi yürüttüğü iddia edildi.

Vercel'in açıklamasına göre Next.js, Turbopack ve açık kaynaklı projelerin yayın hatları güvende bulunuyor. Şirket tüm müşterilerine ortam değişkenlerini gözden geçirmelerini, hassas değişkenler özelliğini kullanmalarını ve Google Workspace yöneticilerinin uzlaşma göstergesi (IoC) olarak paylaşılan OAuth uygulamasını derhal kontrol etmelerini öneriyor. Solana tabanlı borsa Orca başta olmak üzere birçok kripto projesi de API anahtarlarını rotasyona sokarak önlem almaya başladı.

Kaynak: Vercel Güvenlik Bülteni