Vercel İhlalinde Yeni Perde: Context.ai Zinciri Sonrasında Daha Fazla Hesapta Ele Geçirme İzi Bulundu
23 Nisan 2026 itibarıyla Vercel cephesinden gelen yeni açıklamalar, birkaç gün önce duyurulan güvenlik olayının kapsamının ilk değerlendirmelerden daha geniş olabileceğini gösterdi. Şirket, iç sistemlere yetkisiz erişimle sonuçlanan olayla bağlantılı olarak ek müşteri hesaplarında kompromizasyon bulguları tespit ettiğini açıkladı.
Bu açıklama önemli, çünkü ilk aşamada olay daha sınırlı bir hesap zinciri gibi görünüyordu. Ancak soruşturma derinleştikçe, hem yeni göstergeler hem de log incelemeleri daha fazla hesabın etkilendiğini ortaya koydu.
Olay Nasıl Genişledi?
Vercel’e göre ekipler, ek compromise indicator setleri üzerinden yeniden tarama yaptı ve ağ istekleriyle environment variable okuma olaylarını daha detaylı inceledi. İşte bu ikinci faz analiz, başlangıçta görünmeyen yeni bulguları ortaya çıkardı.
Burada asıl kritik mesele şu: Modern SaaS ihlallerinde ilk tespit edilen hesaplar çoğu zaman buzdağının görünen yüzüdür. Olay müdahalesi ilerledikçe, saldırganın çevrede ne kadar süre kaldığı ve hangi varlıklara dokunduğu daha net anlaşılır.
Context.ai Bağlantısı Neden Önemli?
Şirketin önceki açıklamalarına göre zincir, bir Vercel çalışanının kullandığı Context.ai üzerinden başladı. Saldırganın, bu entegrasyon veya ilişkili hesap zinciri üzerinden çalışanın Google Workspace hesabını ele geçirdiği, oradan da Vercel hesabına erişim kazandığı belirtildi.
Ardından saldırgan bir Vercel ortamına geçiş yaptı ve hassas olmayan bazı environment variable’ları listeleyip çözdü. Kağıt üzerinde “non-sensitive” ifadesi rahatlatıcı görünebilir; fakat gerçek dünyada bu tip veriler saldırgan için sonraki pivot adımlarını planlamak açısından son derece değerlidir.
Yeni Tespit: Olaydan Bağımsız Eski Kompromizasyonlar
Vercel’in son güncellemesindeki en dikkat çekici detaylardan biri, bazı müşteri hesaplarında bu olaydan bağımsız ve daha eski kompromizasyon izleri bulunmuş olması. Şirket, bu hesaplarda geçmişe dönük ele geçirme bulgularının sosyal mühendislik, malware veya başka yöntemlerden kaynaklanmış olabileceğini söyledi.
Bu da olayın sadece tek bir zincirle sınırlı olmayabileceğini düşündürüyor. Yani şirketin gördüğü şey, tek bir ihlalin yan etkisi değil, daha geniş bir token ve hesap avı ekosisteminin yansıması olabilir.
Lumma Stealer Detayı Neyi Gösteriyor?
Hudson Rock tarafından ortaya konan ayrı analiz, Context.ai çalışanlarından birinin Şubat 2026’da Lumma Stealer ile enfekte olmuş olabileceğini öne sürüyor. İddiaya göre enfeksiyon, Roblox otomasyon scriptleri ve exploit araçları aranırken gerçekleşti.
Eğer bu zincir doğruysa, olay bize çok tanıdık ama hâlâ çok etkili bir gerçeği hatırlatıyor: Büyük SaaS ihlalleri bazen sofistike sıfır günlerle değil, sıradan bir infostealer enfeksiyonuyla başlayabiliyor.
Shadow AI Riski Neden Büyüyor?
Haberde dikkat çeken bir başka boyut da “shadow AI” tartışması. Yani çalışanların, kurumun resmi denetiminden geçmemiş AI araçlarını veya SaaS entegrasyonlarını kendi iş akışlarında kullanması.
Bu alan giderek daha tehlikeli hale geliyor. Çünkü klasik shadow IT’de risk çoğunlukla görünmeyen yazılımlar ya da bulut depolama araçlarıydı. Shadow AI’de ise bu risk, hem veri sızıntısını hem de kimlik/tokens tabanlı erişim zincirlerini beraberinde getiriyor.
Benim yorumum şu: Önümüzdeki dönemde birçok ihlal raporunda “yetkisiz AI entegrasyonu” veya “incelemeden geçmiş olmayan AI üretkenlik aracı” ifadesini daha sık göreceğiz.
Geliştirici Ekosistemi İçin Ne İfade Ediyor?
Vercel gibi platformlar modern web geliştirme dünyasında yalnızca hosting sağlayıcısı değil; deploy, environment management, CI/CD ve üretim zincirinin merkezi bileşeni haline geldi. Bu yüzden burada yaşanan bir güvenlik olayı, tek bir şirketin iç sorunu olmaktan çıkıyor.
Eğer saldırgan hesap seviyesinde veya deploy zincirinde kalıcı erişim elde ederse, olası etkiler şunlara kadar uzanabilir:
- Yetkisiz ortam değişkeni erişimi
- Dağıtım süreçlerinin manipülasyonu
- API anahtarları ve servis kimlik bilgilerinin dolaylı sızması
- Aynı tedarik zincirine bağlı müşterilerin ikincil risk altına girmesi
Kuruluşlar Ne Yapmalı?
- Tüm Vercel erişim token’larını ve ilişkili API anahtarlarını gözden geçirmek
- Google Workspace ve SSO hesaplarında MFA ve oturum geçmişi denetimi yapmak
- Çalışanların kullandığı AI/SaaS entegrasyonlarını yeniden değerlendirmek
- Environment variable erişim loglarını ve deploy geçmişini incelemek
- Infostealer kaynaklı credential sızıntıları için uç nokta taraması yapmak
Sonuç
Vercel olayı, modern bulut ekosisteminde güvenlik sınırlarının artık şirket içi ağlarla sınırlı olmadığını gösteriyor. Bugünün riski; çalışan hesabı, üçüncü taraf AI aracı, infostealer enfeksiyonu ve SaaS zinciri arasında kurulan görünmez bağlantılar. Bu nedenle olayın asıl dersi, “bir hesap ele geçirildi” değil; “güven ilişkileri zinciri kırıldığında, etki çok daha uzağa yayılabiliyor” gerçeğidir.