Vercel’de veri sızıntısı alarmı: Saldırganlar çalışan bilgilerini internette satışa sundu.

Web uygulamalarını barındırma ve dağıtma alanındaki en büyük geliştirme platformlarından biri olan Vercel, iç sistemlerinden birine yetkisiz erişim gerçekleştiğini kabul etti. Şirket, olayın müşterilerin sınırlı bir kısmını etkilediğini bildirdi. Saldırı tarafı, ShinyHunters bağlantısını taşıdığını iddia eden bir hesap üzerinden bazı verileri satışa çıkarmaya çalıştı. Açığa çıkan örneklerde çalışan isimleri, e-posta adresleri ve aktivite zaman damgaları yer almakta.

Vercel’in güvenlik bülteni, saldırının doğrudan kendi altyapısından değil, ele geçirilen bir üçüncü taraf Google Workspace OAuth uygulamasından kaynaklandığını belirtiyor. Şirket, burada aracın adını paylaşmıyor ancak bir IOC (saldırı göstergesi) sunuyor ve yöneticilerden ilgili OAuth uygulamasını hemen kontrol etmeleri isteniyor. Bu durum, olayın tek bir şirketle sınırlı olmadığını göstermek açısından önemli. Vercel, aynı uygulamanın yüzlerce kullanıcısının olduğunu ve diğer kuruluşları da etkileyebilecek olabileceğini ifade ediyor.

Bu nedenle, şirketin ilk önerileri oldukça belirgin. Yönetici hesaplarını kullanan ekiplerin aktivite günlüklerini gözden geçirmesi, şüpheli erişimleri incelemesi ve özellikle ortam değişkenlerini yeniden değerlendirmeleri gerekiyor. Vercel, “hassas” olarak işaretli değişkenleri güvenli bir biçimde sakladığını ve şu anda bu değerlere erişim gerçekleştirildiğine dair bir kanıt bulunmadığını bildirse de, hassas olmayan API anahtarları, token’lar, veritabanı kimlik bilgileri ve imzalama anahtarları konusunda aynı garantiyi vermek zor. Bu yüzden, şirket bu verilerin öncelikli bir şekilde döndürülmesini öneriyor.

Tedarik zinciri riski yeniden öne çıktı

Bu olay, 2026’da kurumsal yazılım dünyasının en zayıf halkalarından birini bir kez daha akla getiriyor. Artık saldırganlar doğrudan ana hedefe saldırmak yerine, o hedefin güvendiği SaaS hizmetlerine, OAuth bağlantılarına ve yapay zeka araçlarına yöneliyor. Reuters’ın kısa süre önce aktardığı Rockstar Games vakasında da ShinyHunters adı, yine bir üçüncü taraf hizmet zinciri ile birlikte anıldı. Bu durum, geliştirici araçlarıyla kurumsal kimlik yönetimi arasındaki bağların artık yalnızca verimlilik değil, doğrudan güvenlik meselesi haline geldiğini gösteriyor.

Vercel üzerinde hizmetlerin devam ettiğini görmekteyiz, ancak bu açıklama riskleri azaltmıyor. Özellikle Vercel’de üretim ortamı yöneten ekiplerin, proje ayarlarındaki gizli bilgileri, entegrasyon izinlerini ve Google Workspace tarafındaki OAuth uygulamalarını bir an önce kontrol etmeleri gerekiyor. Aslında burada asıl mesele, tekil bir veri sızıntısından çok daha fazlası. Yapay zeka araçlarının iş akışlarına hızla dahil olması, güvenlik ekiplerinin yalnızca çalışan hesaplarını değil, çalışanların bağladığı her aracı ciddiyetle izlemesini zorunlu kılıyor.