Web uygulamalarını barındıran ve dağıtan en büyük geliştirme platformlarından biri olan Vercel, iç sistemlerinin bir bölümüne yetkisiz erişim gerçekleştiğini kabul etti. Şirket, olayın müşterilerin sınırlı bir alt kümesini etkilediğini açıkladı. Saldırgan taraf, ShinyHunters bağlantısı taşıdığını öne süren bir hesap üzerinden bazı verileri satışa çıkarmaya çalıştı. Ortaya çıkan örneklerde çalışan isimleri, e-posta adresleri ve aktivite zaman damgaları yer alıyor.
Vercel’in güvenlik bülteni, saldırının doğrudan kendi altyapısındaki bir açıktan değil, Google Workspace OAuth uygulaması ele geçirilen küçük bir üçüncü taraf yapay zeka aracından kaynaklandığını söylüyor. Şirket burada araç adını açık biçimde paylaşmıyor, ancak toplulukla bir IOC, yani saldırı göstergesi paylaşıyor ve yöneticilerden ilgili OAuth uygulamasını hemen kontrol etmelerini istiyor. Bu nokta önemli, çünkü olay tek bir şirketle sınırlı görünmüyor. Vercel, aynı uygulamanın yüzlerce kullanıcıya sahip olduğunu ve başka kuruluşları da etkilemiş olabileceğini belirtiyor.
Şirketin ilk önerileri de bu nedenle oldukça net. Yönetici hesaplarını kullanan ekiplerin aktivite günlüklerini gözden geçirmesi, şüpheli erişimleri incelemesi ve özellikle ortam değişkenlerini yeniden değerlendirmesi gerekiyor. Vercel, “sensitive” olarak işaretlenen değişkenleri okunamayacak biçimde sakladığını ve şu aşamada bu değerlere erişildiğine dair kanıt görmediğini söylüyor. Ne var ki, hassas olarak işaretlenmeyen API anahtarları, token’lar, veritabanı kimlik bilgileri ve imzalama anahtarları için aynı rahatlığı göstermek zor. Bu yüzden şirket, bunların öncelikli biçimde döndürülmesini tavsiye ediyor.
Tedarik zinciri riski yeniden öne çıktı
Doğrusunu söylemek gerekirse bu olay, 2026’da kurumsal yazılım dünyasının en zayıf halkalarından birini yeniden hatırlatıyor. Artık saldırganlar doğrudan ana hedefe yüklenmek yerine, o hedefin güvendiği SaaS servislerine, OAuth bağlantılarına ve yapay zeka araçlarına yöneliyor. Reuters’ın kısa süre önce aktardığı Rockstar Games vakasında da ShinyHunters adı, yine bir üçüncü taraf servis zinciriyle birlikte anıldı. Bu tablo, geliştirici araçlarıyla kurumsal kimlik yönetimi arasındaki bağların artık yalnızca verimlilik konusu olmadığını, doğrudan güvenlik konusu haline geldiğini gösteriyor.
Vercel cephesinde hizmetlerin çalışmaya devam ettiğini görüyoruz, ancak bu açıklama riski küçültmüyor. Özellikle Vercel üzerinde üretim ortamı yöneten ekiplerin, proje ayarlarında tutulan sırları, entegrasyon izinlerini ve Google Workspace tarafındaki OAuth uygulamalarını vakit kaybetmeden kontrol etmesi gerekiyor. Aslına bakarsanız burada asıl haber, tekil bir veri sızıntısından çok daha büyük. Yapay zeka araçlarının iş akışlarına hızla girmesi, güvenlik ekiplerinin artık yalnızca çalışan hesaplarını değil, çalışanların bağladığı her aracı da aynı ciddiyetle izlemesini zorunlu kılıyor.
