Vercel, Nisan 2026’da kimi iç sistemlerine yetkisiz erişim yaşandığını doğruladı. Şirketin yayımladığı güvenlik bültenine nazaran olay, sonlu sayıdaki müşteriyi etkiledi ve birinci incelemelerde birtakım müşteri kimlik bilgilerinin tehlikeye girmiş olabileceği görüldü. Vercel, etkilenen kullanıcılarla direkt bağlantıya geçtiğini, olay müdahale gruplarıyla birlikte çalıştığını, kolluk kuvvetlerini bilgilendirdiğini ve soruşturmanın sürdüğünü açıkladı. Şirket ayrıyeten hizmetlerin çalışmaya devam ettiğini de belirtti.
Vercel’in paylaştığı bilgilere nazaran güvenlik olayının başlangıç noktası, bir Vercel çalışanının kullandığı Context.ai isimli üçüncü taraf yapay zeka aracı oldu. Şirkete nazaran saldırgan bu araç üzerinden elde edilen erişimle ilgili çalışanın Google Workspace hesabını ele geçirdi. Bu hesabın devralınmasının akabinde kimi Vercel ortamlarına ve hassas olarak işaretlenmemiş environment variable kıymetlerine erişim sağlandı.
Şirketin açıklamasındaki en değerli ayrıntılardan biri, hassas olarak işaretlenen environment variable bedellerinin farklı bir biçimde saklanması oldu. Vercel, bu kategoride yer alan değişkenlerin okunmasını engelleyen bir yapı kullandığını ve şu ana kadar bu pahalara erişildiğine dair bir ispat bulunmadığını söylüyor. Buna karşılık hassas bilgi içermesine karşın bu halde işaretlenmemiş değişkenlerin risk altında kıymetlendirilmesi gerektiği açıkça belirtiliyor.
Vercel, birinci evrede sonlu bir müşteri kümesinin etkilendiğini tabir ediyor. Şirketin açıklamasına nazaran bu müşterilere direkt ulaşıldı ve kimlik bilgilerini çabucak yenilemeleri önerildi. Şayet bir kullanıcıyla direkt bağlantıya geçilmediyse, şu an için o kullanıcının Vercel kimlik bilgilerinin ya da ferdî bilgilerinin ele geçirildiğine inanmak için bir neden bulunmadığı aktarılıyor.
Buna karşın soruşturma hâlâ devam ediyor ve hangi dataların dışarı sızdırılmış olabileceği konusu netleşmiş değil. Şirket, yeni bulgulara ulaşılması halinde müşterilerin ayrıyeten bilgilendirileceğini de söylüyor.
Yayımlanan bültende olayın sırf Vercel tarafıyla sonlu olmadığı da vurgulanıyor. Şirket, akının daha geniş çaplı bir üçüncü taraf uygulama ihlaliyle ilişkili olabileceğini ve bu uygulamanın çok sayıda kurumda kullanılıyor olabileceğini belirtiyor.
Bu nedenle Vercel sadece kendi müşterilerine değil, Google Workspace yöneticilerine ve Google hesap sahiplerine de üçüncü taraf uygulama erişimlerini denetim etme daveti yaptı.
Şirketin kullanıcılara verdiği teklifler de epey net. Vercel, hesap ve ortam activity log kayıtlarının kuşkulu süreçler için gözden geçirilmesini istiyor. Bunun yanında saklı bilgi içeren lakin hassas olarak işaretlenmemiş environment variable bedellerinin öncelikli olarak yenilenmesi gerektiğini söylüyor.
Şirket ayrıyeten bundan sonra hassas değişkenlerin ilgili bilhassa korunmasını, son deployment kayıtlarının incelenmesini, kuşkulu görülen dağıtımların silinmesini, Deployment Protection ayarının en az Standard düzeyine getirilmesini ve varsa Deployment Protection token’larının da döndürülmesini öneriyor.
Sosyal medyada olayın akabinde çok sayıda farklı sav da gündeme geldi. Birtakım paylaşımlarda daha geniş çaplı erişim, kaynak kodu, veritabanı anahtarları ve muhtemel tedarik zinciri tesirleri üzere başlıklar öne çıkarıldı.
Ancak Vercel’in resmi güvenlik bülteni, şu an için direkt doğrulanan çerçeveyi daha sonlu tutuyor. Resmi açıklamada yetkisiz erişim, sonlu müşteri tesiri, hassas olarak işaretlenmemiş değişkenlere erişim ihtimali ve üçüncü taraf bir yapay zeka aracı üzerinden başlayan hücum zinciri yer alıyor.
Bugün gelinen noktada tablo netleşmiş durumda. Vercel bir güvenlik ihlali yaşandığını kabul etti, olayın kaynağını açıkladı ve birinci teknik bulguları kamuoyuyla paylaştı. Soruşturma ise hâlâ sürüyor. Bu yüzden Vercel kullanan gruplar açısından en kritik adımlar activity log kayıtlarını incelemek, kuşkulu deployment geçmişini denetim etmek, bâtın anahtarları yenilemek ve hesap erişim zincirinde üçüncü taraf uygulamaları yine gözden geçirmek olarak öne çıkıyor.
