Nisan 2026’da Vercel, bazı dahili sistemlerine yetkisiz erişim yaşanan bir güvenlik olayını doğruladı. Geliştiriciler, girişimler ve güvenlik ekipleri için bu yalnızca sıradan bir veri ihlali haberi değildi. Bu olay, modern saldırıların artık doğrudan altyapıyı hedeflemek yerine çoğu zaman güvenilen entegrasyonlar üzerinden gerçekleştiğini gösteren önemli bir örnekti.
Vercel, özellikle Next.js ekosisteminde modern web’in büyük bir bölümüne güç sağlıyor. Bu ölçekte bir şirket saldırıya uğradığında, detaylar önemlidir.
Ne Oldu?
Vercel’in resmi açıklamasına göre saldırganlar, Context.ai adlı üçüncü taraf bir yapay zekâ aracı üzerinden erişim sağladı. Bir Vercel çalışanı daha önce bu araca Google Workspace hesabı üzerinden OAuth izinleri vermişti. Daha sonra Context.ai platformu ele geçirilince saldırganlar bu izinleri kötüye kullanarak Vercel sistemlerine erişim elde etti.
Bu olayı önemli yapan nokta şu:
Vercel’in ana platformu doğrudan hacklenmedi
Güvenlik duvarı aşılmadı
Herhangi bir zero-day açığı açıklanmadı
Güven ilişkileri istismar edildi
Yani saldırganlar ön kapıdan değil, yan kapıdan içeri girdi.
OAuth Neden Yeni Bir Saldırı Yüzeyi?
OAuth oldukça kullanışlıdır. Kullanıcıların “Google ile giriş yap” butonuna basmasını veya Gmail, Drive, Calendar, Slack, GitHub gibi servisleri bağlamasını sağlar.
Ancak kolaylık çoğu zaman görünmeyen riskler yaratır.
Çalışanlar üçüncü taraf uygulamalara şu tarz geniş yetkiler verdiğinde:
E-postaları okuma
Belgeleri görüntüleme
Takvim yönetimi
Kalıcı oturum erişimi
…bu uygulamalar şirketin dahili sistemlerinin bir uzantısı haline gelir.
Eğer uygulama sağlayıcısı ele geçirilirse, şirketiniz de fiilen risk altına girebilir.
Vercel olayının asıl dersi budur.
Hangi Veriler Etkilendi?
Vercel, şifrelenmiş hassas environment variable’lara erişildiğine dair bir kanıt olmadığını belirtti. Ancak bazı hassas olmayan environment variable’lar ve belirli dahili sistemler etkilendi. Sınırlı sayıdaki müşteri doğrudan bilgilendirildi.
“Hassas olmayan” değişkenler bile şu bilgileri açığa çıkarabilir:
İç sistem mimarisi
Servis isimleri
API endpoint’leri
Deployment akışları
Kullanılan servis sağlayıcılar
Saldırganlar için bu tarz meta veriler sonraki adımı planlamak adına çoğu zaman yeterlidir.
Bu Neden Startuplar ve SaaS Ekipleri İçin Önemli?
Bugün birçok startup operasyonlarında AI araçları kullanıyor:
AI e-posta asistanları
Toplantı notu araçları
Kod inceleme araçları
Workspace copilots
Tarayıcı ajanları
İç verimlilik botları
Çoğu ekip zaman kazandırdığı için bu araçları hızlıca onaylıyor.
Ancak her yeni entegrasyon, güven sınırını genişletir.
Vercel olayı bize şunu gösteriyor: güvenlik artık yalnızca sunucularınızla ilgili değil.
Aynı zamanda şunlarla da ilgilidir:
Tedarikçileriniz
Çalışan izinleri
OAuth bağlantıları
Unutulmuş entegrasyonlar
Şirketler Şimdi Ne Yapmalı?
1. OAuth Uygulamalarını Denetleyin
Google Workspace, Microsoft 365, GitHub, Slack ve diğer sistemlerde bağlı tüm uygulamaları gözden geçirin.
2. En Az Yetki Prensibini Uygulayın
Gerçekten gerekmedikçe tam erişim isteyen uygulamalara izin vermeyin.
3. Denemeleri Kurumsal Hesaplarla Yapmayın
Çalışanlar rastgele AI araçlarını şirket hesaplarıyla test etmemeli.
4. Anahtarları Düzenli Döndürün
API key, token ve environment variable’ları düzenli yenileyin.
5. Üçüncü Taraf Riskini İzleyin
Artık tedarikçileriniz de saldırı yüzeyinizin bir parçası.
Daha Büyük Uyarı
Bu olay sadece Vercel ile ilgili değil.
Siber saldırıların modeli değişiyor:
Eski model:
Hedefi doğrudan hackle.
Yeni model:
Hedefin güvendiği aracı hackle.
Bu yöntem daha ucuz, daha hızlı ve çoğu zaman daha zor tespit edilir.
Sonuç
Vercel olay sürecini şeffaf şekilde paylaştı ve bu önemliydi. Ancak daha büyük ders şu:
Şirketinizin iç güvenliği güçlü olabilir. Yine de tek bir çalışanın verdiği üçüncü taraf uygulama izni sizi risk altına sokabilir.
Modern güvenlik sorunu tam olarak budur.
Her saldırı zararlı yazılımla başlamaz.
Bazıları sadece şu butonla başlar:
'Google ile Devam Et'