Vercel, üçüncü taraf bir yapay zeka aracının ele geçirilmesiyle başlayan siber saldırıyı doğruladı. Saldırganların çalışan verilerini sızdırdığı ve çalınan verileri satışa çıkardığı bildirildi.

Bulut tabanlı uygulama geliştirme ve dağıtım platformu Vercel, bir siber saldırıya uğradığını doğruladı. Şirket, yaşanan olayın üçüncü taraf bir yapay zeka aracının ele geçirilmesiyle başladığını açıkladı. Saldırı sonrası çalındığı iddia edilen verilerin satışa çıkarılması ise durumu daha da kritik hale getirdi.

Sınırlı sayıda müşteri etkilendi

Vercel tarafından yayımlanan güvenlik bültenine göre ihlal, şirketin bazı dahili sistemlerine yetkisiz erişim sağlanmasıyla gerçekleşti. Açıklamada olaydan yalnızca sınırlı sayıda müşterinin etkilendiği vurgulanırken platformun genel hizmetlerinde herhangi bir kesinti yaşanmadığı belirtildi.

Şirket, olayın ardından kapsamlı bir inceleme başlattığını, durumun kolluk kuvvetlerine bildirildiği ve soruşturmanın ilerleyişine göre kamuoyunun bilgilendirilmeye devam edileceğini duyurdu.

İhlalin kaynağı bir yapay zeka aracı

Vercel, saldırının kökenine dair kritik detayları da paylaştı. Buna göre ihlal, üçüncü taraf yapay zeka aracına ait Google Workspace OAuth uygulamasının ele geçirilmesiyle başladı. Vercel CEO’su Guillermo Rauch’un açıklamasına göre saldırganlar, Context.ai platformundaki bir ihlal üzerinden bir çalışanın Google Workspace hesabını ele geçirdi. Bu erişim sayesinde saldırganın Vercel sistemleri içinde yetkisini artırarak bazı ortamlara ulaşabildiği belirtildi.

Saldırganlar çalışan verilerini paylaştı 

Saldırının arkasında olan ve kendisini ShinyHunters grubuyla ilişkilendiren bir kişi ise çevrim içi platformlarda bazı verileri yayımladı. Paylaşılan bilgiler arasında çalışan isimleri, e-posta adresleri ve hesap aktivitelerine dair zaman damgaları yer aldı. ShinyHunters, Rockstar Games'i yönelik yakın zamanda gerçekleşen hack olayının arkasında bulunuyordu.

Vercel, sistem yöneticilerine yönelik olarak bazı kritik uyarılarda bulundu. Özellikle şüpheli aktivitelerin tespit edilmesi için sistem günlüklerinin incelenmesi gerektiği belirtildi. Bunun yanı sıra, olası veri sızıntılarına karşı önlem olarak ortam değişkenlerinin gözden geçirilmesi ve gerekli durumlarda yenilenmesi önerildi. Bu adımların, API anahtarları, erişim token’ları ve diğer hassas bilgilerin korunması açısından önemli olduğu ifade edildi.

Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları;

• Üçüncü taraf yapay zeka ve SaaS uygulamalarına verilen OAuth yetkileri düzenli olarak gözden geçirilmeli, gereksiz erişimler kaldırılmalı ve minimum yetki prensibi uygulanmalıdır.

• Google Workspace, Microsoft 365 ve benzeri platformlarda MFA (Multi-Factor Authentication) zorunlu hale getirilmeli, özellikle yönetici hesapları ek güvenlik politikaları ile korunmalıdır.

• API anahtarları, erişim token’ları ve ortam değişkenleri (environment variables) merkezi bir secret management/PAM çözümü ile yönetilmeli ve düzenli aralıklarla rotate edilmelidir.

• Şüpheli erişimlerin hızlı tespit edilebilmesi için SIEM, log izleme ve davranış analizi (UEBA/XDR) çözümleri aktif kullanılmalı; OAuth uygulama aktiviteleri ve yetki yükseltme işlemleri sürekli izlenmelidir

Detaylı bilgi için info@zerosecond.com.tr adresinden uzmanlarımıza başvurabilirsiniz.