Vercel, Nisan 2026’da bir güvenlik olayı yaşadı (iç sistemlere yetkisiz erişim)

 (vercel.com)
2 puan yazan princox 10 일 전 | 4 yorum | WhatsApp'ta paylaş

Vercel, Nisan 2026’da bazı iç sistemlere yönelik yetkisiz erişimin (unauthorized access) gerçekleştiği bir güvenlik olayını resmen açıkladı.
Olay şu anda soruşturuluyor; dış güvenlik uzmanlarıyla birlikte müdahale yürütülüyor ve kolluk kuvvetleri de bilgilendirilmiş durumda.

Etki kapsamı

  • Etki, tüm müşteriler yerine “sınırlı sayıdaki bazı müşterilerle” sınırlı
  • Bu müşterilerle birebir ve doğrudan iletişim kuruluyor
  • Platform hizmetinin kendisi normal şekilde çalışmayı sürdürüyor

👉 Yani bu, “büyük çaplı bir hizmet kesintisi”nden ziyade
iç sistem ihlali + sınırlı müşteri etkisi türünde bir olay

Mevcut müdahale durumu

Vercel’in müdahalesinin özeti:

  • Olay tespit edildikten hemen sonra inceleme başlatıldı
  • Dış incident response uzmanları devreye alındı
  • Kolluk kuvvetlerine bildirim yapıldı
  • Düzenli güncellemeler paylaşılacak

Kullanıcılara önerilen adımlar

Vercel, tüm kullanıcılara şunları öneriyor:

  • Ortam değişkenlerini (environment variables) gözden geçirin
  • Hassas bilgiler içeren env var’lar için koruma özelliklerini kullanın

👉 Özellikle Vercel’in yapısı gereği
ortam değişkenlerinde API anahtarları, token’lar vb. sıkça bulunduğundan
gizli bilgi yönetimi temel risk noktası olarak öne çıkıyor

Bağlam: Son dönemde Vercel güvenlik görünümü

Bu olay, tekil bir vakadan çok, son dönemde Vercel ekosisteminde art arda gelen güvenlik sorunlarının parçası olarak görülüyor:

  • React / Next.js tabanlı zafiyetler düzenli olarak ortaya çıkıyor (DoS, kimlik doğrulama atlatma vb.)
  • React2Shell gibi geniş çaplı saldırı girişimleri yaşandı (milyonlarca deneme ölçeğinde)
  • Vercel alan adlarının kullanıldığı phishing / kötü amaçlı yazılım dağıtımı vakaları artıyor

👉 Özetle
“framework + platform + geliştirici ekosisteminin tamamı saldırı yüzeyi haline gelmiş durumda”

Temel noktaların özeti

  • İç sistemlere yetkisiz erişim gerçekleşti
  • Etki, sınırlı sayıdaki bazı müşterilerle kısıtlı
  • Hizmetler normal şekilde çalışıyor
  • Soruşturma sürüyor + dış uzmanlar devrede
  • Kullanıcı tarafında ortam değişkeni güvenliğinin gözden geçirilmesi kritik

Tek cümlelik özet

👉 “Vercel’in iç sistemleri ihlal edildi, ancak etki sınırlı ve soruşturma ile müdahale sürüyor — buna karşılık ortam değişkeni güvenliği temel risk olarak öne çıkıyor”

İlgili okumalar

4 yorum

 
iiiiiiiiiiiii 9 일 전

Next.js bana fazlasıyla Vercel’e özgü bir framework’e dönüşüyormuş gibi geldiği için RRv7 çıkar çıkmaz değiştirdim; yine de umarım her şey yolunda gider.
 
slowandsnow 9 일 전

Büyük web framework’lerinin hepsinde en zayıf desteği veren Vercel değil mi? Bari rr7 olsa.
 
iiiiiiiiiiiii 8 일 전

Ayrıca bu belki benim kişisel tercihimdir ama tek bir platforma bağlı kalmaktan hoşlanmadığım için mümkünse GCP, AWS, Vercel ve CF'nin hepsine deploy edebilecek şekilde yapmaya çalışıyorum.
 
princox 10 일 전

id
name
displayName
email
active
admin
guest
timezone
createdAt
updatedAt
lastSeen

Verilerin yanı sıra npm token'ları veya GitHub token'ları gibi API anahtarlarının da sızdığı söyleniyor. Veri satanların ortaya çıktığı da belirtiliyor.