Vercel ihlali: Kripto geliştiricileri API anahtarlarını rotasyona aldı

Vercel, 19 Nisan 2026 tarihli güvenlik bildirimiyle bazı iç sistemlerine yetkisiz erişim tespit ettiğini açıkladı; şirket olaya ilişkin soruşturma başlattı ve etkilenen müşteri grubuyla doğrudan iletişime geçti. Şirket, servislerin çalışır durumda olduğunu ve olayın sınırlı bir müşteri kümesini etkilediğini belirtti.

Soruşturma ve Vercel CEO’sunun açıklamalarına göre ilk erişim, üçüncü taraf bir yapay zeka aracının Google Workspace OAuth uygulamasının ele geçirilmesiyle başladı; saldırgan bu zafiyeti kullanarak bir Vercel çalışanının Workspace hesabına erişti ve oradan iç ortamlara ilerledi. Tehdit aktörleri BreachForums gibi platformlarda erişim ve verileri satışa çıkardıklarını iddia eden paylaşımlar yaptı; bu iddiaların bazı unsurları bağımsız kaynaklarca raporlandı ancak doğrulanma süreci devam ediyor.

Olay, özellikle web3 ön yüzlerini (web3 cüzdan bağlantıları, DEX/arb arayüzleri ve kullanıcıya bakan ticaret panelleri) Vercel üzerinde barındıran projeler için doğrudan operasyonel risk oluşturdu. Bu ön yüzlerde gömülü veya dağıtım sırasında erişilebilir hale gelen API anahtarları, tokenlar ve webhook gizli verilerinin potansiyel olarak sızmış olma riski nedeniyle birçok kripto ekibi anahtar döndürme (key rotation) işlemlerini başlattı ve dağıtımları gözden geçiriyor. Bazı güvenlik raporları ve topluluk uyarıları geliştiricilere non-sensitive olarak işaretlenmiş ortam değişkenlerinin bile saldırgan tarafından erişilebilir hale gelmiş olabileceğini hatırlatıyor.

Bu vaka, üçüncü taraf OAuth entegrasyonlarının tedarik zinciri risklerini yeniden gündeme getiriyor. Genişleyen AI araç ekosistemi ve bu araçlara verilen Workspace/Google OAuth izinleri, organizasyonların saldırı yüzeyini büyütüyor; uzmanlar Google Workspace yöneticilerinin OAuth izinlerini denetlemesi, şüpheli uygulamaları kaldırması ve hassas olmayan/değişken tanımlamalarını yeniden değerlendirmesini öneriyor. Sektör gözlemcileri, benzer olayların bulut müşterilerinin kimlik ve gizli yönetimi uygulamalarında kapsamlı değişiklikler gerektirebileceğini belirtiyor.

Vercel ve olaya müdahale eden ekipler müşterilere önceliklendirilmiş eylem listesini iletti: dağıtımları inceleyin, beklenmeyen değişiklikleri geri alın veya silin, Deployment Protection düzeyi ve “sensitive” ortam değişkeni kullanımını gözden geçirin ve etkilendiğini düşündüğünüz anahtarları hemen döndürün. Piyasa perspektifinden, geliştirme ekipleri ve DeFi projeleri kısa vadede operasyonel maliyet ve güvenlik harcamalarını artırabilir; uzun vadede ise SaaS entegrasyonlarında sıkılaştırılmış denetimler ve OAuth izleme çözümleri yaygınlaşması bekleniyor.