Vercel Güvenlik Kontrol Noktası

 (webmatrices.com)
1 puan yazan GN⁺ 7 일 전 | 1 yorum | WhatsApp'ta paylaş
  • Olayın niteliğini veya seyrini doğrulayacak anlamlı bir ana metin bilgisi yok
  • Hacker News başlığında, Roblox hilesi ve bir AI aracının Vercel platformunu etkilediği belirtiliyor
  • Orijinal başlık Vercel Security Checkpoint olarak sunuluyor
  • Somut neden, etki kapsamı ve müdahale yöntemi, metinde dayanak olmadığı için doğrulanamıyor
  • Sağlanan bilgilerle olayın önemini veya teknik ayrıntılarını özetlemek mümkün değil

İçerik yok

İlgili okumalar

1 yorum

 
GN⁺ 7 일 전
Hacker News görüşleri

  • Yazı fazlasıyla AI üretimi gibi hissettiriyor. Bilerek kulağa tuhaf gelen dilbilgisi karıştırılarak gizlenmeye çalışılmış gibi ama bunun içeriğin doğruluğundan ayrı bir konu olup olmadığından da emin değilim

    • Ben okurken yarıda bıraktım. Artık LLM üslubuna fazla duyarlı hale geldim; bu neredeyse “ChatGPT, bu makaleyi oku ve daha gündelik bir dille yeniden yaz” seviyesinde görünüyordu ve gerçek bir yazarlık hissi neredeyse yoktu. Bu tür yazılarda HN'de mümkünse birincil kaynağın getirilmesi gerektiğini düşünüyorum
    • Neden eksi oy aldığını bilmiyorum. Bu yazı AI blog spam'ine daha yakın ve https://www.darkreading.com/application-security/vercel-employees-ai-tool-access-data-breach gibi haberlerden daha fazla olgusal bilgi de sunmuyor; boş LLM tarzı ifadelerle dolu görünüyordu. İnsanların böyle şeyleri isteyerek okuyor olmasının normalleşmesi biraz moral bozucu
    • Yazarın sitesinin Vercel üzerinde barındırıldığını gördüm. Bu yüzden bu sorundan gerçekten etkilenmiş ve meselede çıkarı olan biri olduğunu düşündüm. Sırf bu bile onu yalnızca AI tarafından üretilmiş içerikten bir kademe daha iyi yapıyor bence
    • Üslup kesinlikle LLM nesri gibi ama tamamı öyle görünmüyordu. Muhtemelen sadece bazı kısımlar yeniden yazılmış. Beni daha çok endişelendiren şey, HN gibi LLM'lere aşina insanların çok olduğu bir yerde bile böyle yazıların sorgusuz geçebilmesi. Bunun standart haline gelmesini istemem ama AI üretimi yazıların ciddi tepki aldığı HN örneklerinde bu ilk kez olmuyor; asıl rahatsız edici olan bu. Kodda AI kullanılmasına, insan yeterince doğruluyorsa, okeyim ama LLM nesrinin ön sayfayı giderek daha fazla işgal etmesi gerçekten kötü hissettiriyor
    • Ben de aynısını hissettim. İnsanlar normalde öyle yazmaz

  • Buradaki “sensitive” yorumunun yanlış olduğunu düşünüyorum. Bildiğim kadarıyla Vercel'in env var'larının tamamı kaydedildiği anda şifreleniyor ve sensitive kutucuğu, geliştiricinin UI'da bu değeri tekrar görememesi anlamına geliyor. Yani write-only'ye yakın bir kavram; uygulamanın env var üzerinden değeri görebilmesi gerektiğinden, uygulamanın da okuyamayacağı şekilde şifrelemek zaten baştan anlamsız olurdu. Kutuyu işaretlemezseniz proje UI'ında değeri görebilirsiniz ve DEFAULT_TIME_ZONE gibi sıradan ayar değerlerinde bu daha pratiktir. Bu yüzden sensitive'in şifreleme değil, UI görünürlüğü anlamına geldiğini anlıyorum. Vercel çalışanı değilim ama biraz kullandım; bu kısmı eleştirmek bana korkuluk safsatası gibi geliyor

    • Evet, ben de o kısmı karıştırdım. Programın gerçekten kullanması gereken env var'lar mecburen düz metin olarak enjekte edilmek zorunda. Kayıt sırasında şifreleme yapılabilir ama çalıştırmadan önce eninde sonunda çözülmesi gerekir; bu Vercel'e özgü bir sorun değil, sistem tasarımının genel sınırı. Belki bir gün tam homomorfik şifreleme ile iyileşir ama tüm program için ek yük hâlâ fazla büyük, yani bugün için gerçekçi değil
    • Her veri sızıntısından sonra “şifrelemeliydiniz” diye bağıran çok oluyor ama çoğu kişi şifrelemenin sınırlarını hem ilkesel hem pratik açıdan anlamıyor gibi geliyor. Şifreleme, secure ya da safe kelimelerinin eşanlamlısı değil
    • Vercel'de tam olarak nasıl işlediğini bilmiyorum ama başka platformlarda bu işaret genelde loglarda da maskeleme anlamına geliyor
    • Çalıştığım yerde Vault kullanmaya başladık ve vault key'i çekmek için gereken anahtarı sıradan, gizlenmemiş bir env var'da tutuyoruz. Bunun muhtemelen daha sağlam bir mimari olduğunu düşünüyorum
    • Diğer bulutlar da bunu benzer şekilde yapıyor. Mesela DigitalOcean da böyle

  • Kolay bir günah keçisi yaratmak istemem ama yine de Context.ai çalışanının iş cihazında oyun oynayıp üstüne kaynağı şüpheli bir hile programı da kurmuş olmasına ne demeli bilmiyorum. Defense in depth ve güvenlik katmanları argümanı elbette doğru ama burada bireysel sorumluluk da açıkça var bence. Vercel tarafındaki hata şirketin ve yönetimin savunma başarısızlığı olarak görülebilir ama hile kurmak gerçekten ayrı seviyede ciddi görünüyor

    • AI benimseyen şirketlerin genelinde OpSec seviyesinin düşük olduğunu düşünüyorum. Çünkü şu anda güvenlik, karar alma sürecinin temel işlevlerinden biri değil. İki yıl önceki McDonalds ihlaline bakınca da benzer bir çizgi görünüyor
    • O çalışanın bunu gerçekten iş cihazına kurup kurmadığını henüz bilmiyoruz bence. En azından bu haberde yok ve başka kaynaklarda da görmedim. Pek çok şirket şirket ağına VPN erişimi ya da bazı iç sistemlerin internete doğrudan girişini mümkün kılıyor; ideal değil ama sanıldığından daha yaygın. Bu bana Disney hack'ini de hatırlatıyor; o da kişisel PC'ye kurulan bozulmuş bir yazılımla başlamıştı. Kendi gördüklerime göre birçok şirketin IT'si sanıldığından çok daha gevşek
    • Ben daha çok kullanıcıların keyfi yazılım kurmasına izin veren IT departmanını suçlarım
    • Ben de tamamen katılıyorum. İş ve özel kullanımı tek bir dizüstü bilgisayarda birleştirme fikri başlı başına zaten oldukça zorlayıcı. Piyasa değeri bakımından dünyanın ilk 10 şirketinden birinde, mühendis masalarında internete çıkmayan bir iş bilgisayarıyla farklı ağa bağlı bir internet bilgisayarı ayrı ayrı duruyordu. Benim ana çalışma cihazım ses bile çıkarmıyor. Ses kartı bile yok. Çoğu insanın sesi olmayan ana iş bilgisayarıyla gayet rahat çalışabileceğini düşünüyorum. Ben teknoloji düşmanı değilim; NUC, Raspberry Pi ve dizüstü bilgisayarları bolca kullanıyorum ama ana iş cihazında YouTube izlemeye ya da oyun oynamaya hiç ihtiyaç yok. Toplantılar için başka dizüstü, video izlemek için başka dizüstü olabilir. Kafeye de ofise de götürdüğün o dizüstünde oyun oynama kültürünün Vercel'i düşürdüğünü ve daha birçok şirketi de düşüreceğini düşünüyorum
    • Bunun birçok nedenden sadece biri olduğunu düşünüyorum. Elbette kötü bir seçim ama diğer sistemlerin güvenliği “iş dizüstü bilgisayarı asla ele geçirilmeyecek” varsayımına dayanmamalı. Tek savunma hattı buysa sonunda mutlaka sorun çıkacaktır

  • Bu yazıda bazı yanlışlıklar olduğunu düşünüyorum. Vercel env var'ları tamamen at rest şifreleniyor ve sensitive işareti, ayarlandıktan sonra değerin tekrar getirilememesi anlamına geliyor; dolayısıyla böyle bir durumda aslında işe yarardı. Ayrıca kaynak bağlantısı bile olmadan böyle bir şey okumak da epey rahatsız ediciydi

    • Buradaki UI kararı ilginç. Ortam değişkenleri listesi parola gibi gizlenmiş ve bir görüntüleme düğmesi de var; advisory'yi okuyana kadar sensitive bayrağının ne kadar önemli olduğu gözüme hemen çarpmamıştı. Bizde de sensitive olarak işaretlenmemiş bazı gizli değerler var ve şu an onları döndürmekle uğraşıyoruz
    • Ama bazı müşteri env var'larının gerçekten açığa çıktığı doğruysa, o zaman insan bunun şifrelenmemiş olduğunu da düşünüyor

  • Son bir yılda bizzat onayladığım yaklaşık 12 AI aracını inceledim; bunların 9'u Google Workspace'te tüm e-postaları okuma ve Drive'ın tamamına erişim istiyordu. Üstelik onboarding sırasında yoğundum ve izinleri doğru dürüst okumadan hepsini onayladım. Teknolojiye hakim insanlar da gerçekten bunu böyle mi yapıyor merak ediyorum. Ben birine e-postama ve Google Drive'ıma erişim vermekten uykum kaçacak kadar çekinirim; izinleri mümkün olduğunca ayrıntılı vermeye çalışır, kullanmadığım uygulamaların erişimini hemen kaldırırım. Bu düzeydeyse, maillerdeki NDA'lerin ve gizli bilgilerin zaten sızmış olduğunu varsaymak gerekir gibi geliyor

    • İş yerimde, başka bir ekibin satın aldığı AI toplantı notu aracını Google Workspace ile entegre etmelerine yardım etmem istendi. Satıcı, e-postaları ve Drive dosyalarını okumak-yazmak için Domain-wide Delegation kurulmasını istedi; bu durumda organizasyondaki tüm kullanıcılar otomatik olarak opt-in edilmiş oluyor ve reddetme imkânı kalmıyordu. Ben de satıcıyla iletişime geçip, kullanıcıların kendi girişini yapıp OAuth izin ekranını kabul ettiği “daha az tavsiye edilen” bir yöntemi ayrıca açmalarını istedim. Ama süreç boyunca hem satıcı hem bizim kurum bunu zaman kaybı gibi gördü. Birisi geniş yetkileri kendi isteğiyle vermek istiyorsa bu onun tercihi olabilir ama temel bir araç bile olmayan bir şeyi tüm çalışanlara veto hakkı olmadan açmak bana etik dışı geliyor. Güvenlik kaygıları zaten ayrı mesele. Daha da korkutucu olan, işin ucunda biraz AI geçince insanların düşünmeyi bırakması. Beş yıl önce böyle bir talebi yapmayacak kadar akıllı insanlar şimdi herkes yapıyor diye bunu normal görüyor
    • Ben kişisel olarak bunu yapmıyorum. Birkaç gün önce gördüğüm “güvende kalmaya çalışan herkes sonunda Stallman usulü manastır bilişimine yakınsar” sözü aklımda kaldı. https://news.ycombinator.com/item?id=47796469#47797330 Gerçekten komik ama bir yandan da doğru. Kişisel verilerim üzerinde özgürce çalışan ajan otomasyonunun faydasını görmek isterdim ama kendimi tutuyorum. Kaçırdığım havalı özellikler için üzülüyorum ama izinler sadece bugünün sorunu değil. Bir kez verince fiilen kalıcı oluyorlar
    • Bunun çok yaygın olduğuna eminim. İzin yorgunluğu ve popup yorgunluğu gerçek. Bugünün uygulamaları ve web siteleri, kullanıcının aslında yapmak istediği şeye ulaşmasından önce onlarca popup çıkarıyor; bunların önemli kısmı pazarlama, bir kısmı saçma hukuk talepleri, sadece küçük bir kısmı gerçekten önemli. Sonunda insanlar “tamam, tamam, devam et”e basıyor ve güvenlik pencereden uçup gidiyor. Benim hep aklımda tuttuğum şey şu: bilgisayar güvenliği esasen bir yanılsamaya yakın ve ağa bağlı bir bilgisayardaki veriler yarı kamusal bilgi gibi ele alınmalı. Modern altyapının büyük kısmının internete bağlı bilgisayarların üstünde duruyor olması, insanın akıl sağlığı için çok derin düşünmemesi gereken bir gerçek
    • Bence gerçek hayat tam olarak böyle işliyor. Yönetici “bu öğleden sonraki büyük toplantıdan önce şimdilik bir şeyler toparla” diyor, mühendis de kurulum sırasında hepsini kabul edip sonra düzeltirim diye düşünüyor. Sonra altı ay geçiyor ve o acele demo olduğu gibi prod'a dönüşüyor
    • Ben buna “yoğundum, okumadan onayladım” diye bakmıyorum. Aslında onboarding izinleri talep etti ve reddetme şansı yoktu diye görüyorum. Reddersen uygulamayı kullanamıyorsun; yani fiilen zorunlu. Bu kavramın kendisi yanlış. Kullanıcı “reddet”e bastığında, uygulamaya kullanıcının reddettiği bilgisi gitmemeli; sadece istenen veri boşmuş gibi görünmeli. Böylece uygulama istediği izinleri sorabilir ama kullanıcı bu izinleri vermeden de uygulamayı kullanmayı sürdürebilir. Bence gerçek çözüm bu

  • Tahminimce bu herhangi bir Google Workspace uygulaması değil, muhtemelen Gmail erişimi meselesiydi. Saldırgan kurbanın gelen kutusuna geniş erişim elde etti, sonra da magic link ya da tek kullanımlık kodlarla bazı iç sistemlere giriş yaptı gibi duruyor. Öyleyse neden 2FA olmadığı ve en başta neden bu kadar geniş erişime izin verildiği merak konusu. Değilse, diğer ihtimal Google Workspace içinde API kimlik bilgileri tutulmuş olması olabilir ama mümkün olsa da oldukça garip bir tasarım gibi geliyor

  • Sadece bir Roblox hilesiymiş, bu da ayrı saçma. Oğlumun hesabı da bir Roblox hilesi yüzünden ele geçirilmişti; o yüzden ciddi olduğunu düşünüyorum ama bizim olayda Gamepass çerezini çalıp dört tane Minecraft lisansı almışlardı ve Microsoft hızlıca iade etmişti

    • Bu, pratikte Vercel'in ergen script kiddieler tarafından hacklendiği anlamına geliyor gibi. Yine de olumlu tarafından bakarsak yakında tutuklama haberi de gelebilir diye umuyorum
    • Ben en başta oyun hilesinin neden çalıştırılabildiğini merak ediyorum. Bu şirketlerde cihaz kontrolü yok mu, varsa da umursanmıyor mu acaba. Çalışan sanki LastPass Plex olayındaki türden bir hatayı tekrarlamış gibi

  • Bu yazıda browser verification failed hatası çıkıyor

    • İşin ironik tarafı, sitenin Vercel üzerinde barındırılıyor olması

  • “O kutucuğun varlığını kaç geliştirici biliyordu ve veritabanı kimlik bilgileriyle API anahtarlarının varsayılan olarak şifrelendiğini kaç kişi varsaydı” cümlesini görünce ben tersini düşündüm. Gizli değer girilen alanda yıldızlama yoksa kaydet düğmesine bile basmam. Belki programatik olarak eklenmiştir ama o durumda bile en azından secret flag benzeri bir şeyin açıkça belirtilmiş olması gerekirdi. Vercel gibi bir şirkette böyle bir sorunun çıkması bana tuhaf geliyor

    • Böyle alanlarda birinin hassas bilgi gireceği varsayılan kabul olmalı. Bu yüzden varsayılan şifreleme tek makul seçenek gibi geliyor
    • Bir köprü mühendisine “acaba ayak güçlendirmesini atladınız mı?” diye sormadığımız gibi, güvenlik bilgim daha azken bile bunun işin en temel kısmı olduğunu düşünürdüm. Hassas bilgileri düz metin saklayıp sonra geri tepmesini yaşayan insanların öfkelenmesini anlıyorum ama bir yandan da kendi pratiklerinin bedelini ödüyorlar. Bu, mağdurları suçlayalım demek değil; Vercel de bu saçma durumdaki payı için açıkça sorumluluk almalı. Yine de sonunda biraz FAFO hissi bırakıyor

  • Gerçekten ironik biçimde, şimdi güvenlik kontrollerini daha da sıkılaştırmış gibi görünüyorlar. Orijinal yazıyı eski bir Firefox sürümüyle okumaya çalışınca sadece Failed to verify your browser ve Code 11, Vercel Security Checkpoint mesajlarını gördüm. Açıkçası bayağı sinir bozucuydu