Vercel 2026 Veri İhlalinden 7 API Güvenliği Dersi

ÖZET

19 Nisan 2026'da Vercel, saldırganların üçüncü taraf bir yapay zeka aracının OAuth entegrasyonu aracılığıyla dahili sistemlerini tehlikeye attığını ve beklemede şifrelenmemiş olarak saklanan müşteri ortam değişkenlerini açığa çıkardığını duyurdu. Bu ihlal, her API geliştiricisinin uygulaması gereken yedi kritik dersi ortaya koyuyor: sırları beklemede şifreleyin (yalnızca aktarımda değil), yapay zeka geliştirme araçlarından gelen OAuth izinlerini denetleyin, tüm ortam değişkenlerini varsayılan olarak hassas kabul edin, kimlik bilgisi rotasyonunu otomatikleştirin, CI/CD hattınızı güvence altına alın, API'leri varsayılan olarak güvenlik açık olacak şekilde oluşturun ve bir olaya müdahale eylem planını ihtiyacınız olmadan önce hazırlayın.

Apidog'u bugün deneyin

💡 Apidog, API kimlik bilgilerinizi şifreli tutmak ve döndürmek için HashiCorp Vault, Azure Key Vault ve AWS Secrets Manager ile entegre olur. Tek bir çalışma alanında 13 kimlik doğrulama yönteminin (OAuth 2.0'dan mTLS'ye kadar) tümünü test edebilirsiniz. Apidog'u ücretsiz indirin.

Giriş

Context.ai adlı küçük bir yapay zeka aracına verilen tek bir OAuth izni, saldırganlara Vercel'in dahili sistemlerine doğrudan bir yol açtı. Buradan, beklemede şifrelenmemiş olan müşteri ortam değişkenlerine, API anahtarlarına, veritabanı kimlik bilgilerine ve dağıtım tokenlarına eriştiler.

İhlal, Vercel'in güvenlik duvarlarının olmamasından veya HTTPS'i etkinleştirmeyi unutmasından kaynaklanmadı. Mimari varsayımlar yüzünden oldu: geliştiricilerin sırları "hassas" olarak işaretlemek için manuel olarak kabul edeceği, üçüncü taraf yapay zeka entegrasyonlarının düşük riskli olduğu ve üretkenlik araçlarına verilen OAuth kapsamlarının düzenli denetimlere ihtiyaç duymadığı varsayımları.

API'ler oluşturuyor veya kullanıyorsanız, bu olay incelenmeye değer bir vaka çalışmasıdır. Saldırı zinciri, çoğu geliştirme ekibinin her gün tekrarladığı kalıpları kullandı: kimlik bilgilerini ortam değişkenlerinde saklama, yapay zeka araçlarına OAuth erişimi verme ve hassas verileri korumak için platform varsayılanlarına güvenme.

Bu rehberde Vercel ihlalinden çıkarılacak yedi dersi detaylandırıyor ve her birini kendi API iş akışınıza nasıl uygulayacağınızı, haftalık olarak atabileceğiniz somut adımlarla gösteriyoruz.

Ne Oldu: Vercel Nisan 2026 İhlali

Saldırı Zinciri

17 Nisan ile 19 Nisan 2026 tarihleri arasında bir saldırgan, Context.ai'nin Google Workspace OAuth uygulamasını tehlikeye attı. Context.ai, büyük bir kimlik sağlayıcı olmayan küçük çaplı bir yapay zeka gözlemlenebilirlik aracıydı. Ancak bir Vercel çalışanının Google Workspace hesabına OAuth erişimi vardı.

Saldırı adım adım şöyle gerçekleşti:

1. Saldırgan, Context.ai'nin OAuth uygulamasını tehlikeye attı ve Google Workspace entegrasyonunun kontrolünü ele geçirdi.
2. O OAuth erişimini kullanarak bir Vercel çalışanının Google hesabını ele geçirdi, o çalışanın sahip olduğu tüm izinleri devraldı.
3. Vercel'in dahili sistemlerine sızdı, müşteri odaklı veri depolarına erişti.
4. Müşterilerin "hassas" olarak işaretlemediği ortam değişkenlerini çıkardı; bunlar beklemede şifrelenmemiş olarak saklanıyordu.

Vercel, saldırganı "işletme hızı ve Vercel'in sistemlerine dair ayrıntılı anlayışı göz önüne alındığında oldukça sofistike" olarak tanımladı.

Ne Açığa Çıktı

Onaylanmış tehlikeye atılanlar:

• "Hassas" olarak işaretlenmemiş müşteri ortam değişkenleri (API anahtarları, veritabanı URL'leri, imzalama anahtarları, dağıtım tokenları)
• 580 çalışan kaydı (isimler, Vercel e-postaları, hesap durumu, etkinlik zaman damgaları)

Tehlikeye atılmayanlar (Vercel'e göre):

• "Hassas" olarak işaretlenmiş ortam değişkenleri (beklemede şifrelenmiş)
• Temel platform altyapısı

Kritik detay: Vercel'in ortam değişkenleri için "hassas" bayrağı varsayılan olarak KAPALIydı. Sırlar sadece bir geliştirici açıkça kabul ederse beklemede şifreleniyordu. Bu tasarım, topluluk tarafından yoğun şekilde eleştirildi.

Bu Neden API Geliştiricileri İçin Önemli

Her API, sırlar etrafında döner: API anahtarları, OAuth tokenları, veritabanı kimlik bilgileri, webhook imzalama anahtarları. Vercel saldırısı doğrudan API'leri hedeflemedi; API kimlik bilgilerinin yaşadığı altyapıyı hedef aldı. Ortam değişkenleri, OAuth entegrasyonları, CI/CD hatları ve üçüncü taraf araçlar sizin de kullandığınız altyapı ile aynı.

---

Ders 1: Sırları Yalnızca Aktarımda Değil, Beklemede de Şifreleyin

HTTPS, API anahtarlarınızı aktarımda korur. Ancak bu anahtarlar dağıtım platformundaki ortam değişkenlerinde şifrelenmeden duruyorsa, saldırganlar ağı dinlemeye gerek kalmadan kimlik bilgilerini depodan doğrudan okuyabilirler.

Ne Yapmalı

• Özel bir sır yöneticisi kullanın.
  • HashiCorp Vault, AWS Secrets Manager, Azure Key Vault gibi araçlar sırları beklemede otomatik olarak şifreler.
• Platformunuzda beklemede şifrelemeyi doğrulayın.
  • Ortam değişkenleri varsayılan olarak şifreleniyor mu? Eğer isteğe bağlıysa, tüm sırların korunduğundan emin olun.
• Yapılandırmayı sırlardan ayırın.
  • Ortam değişkenlerinde sadece hassas olmayan yapılandırma bilgileri tutun. Kimlik bilgileri için sır kasası kullanın.

Apidog Bunu Nasıl Yönetir

Apidog, HashiCorp Vault, Azure Key Vault, AWS Secrets Manager ile doğrudan entegre olur. API testlerinde kimlik bilgileriniz çalışma zamanında kasadan çekilir, asla düz metin olarak proje dosyalarınıza veya ortam yapılandırmanıza yazılmaz. Kimlik doğrulama şablonları ile gerçek sırları ayırabilir, test yapılandırmalarını ekibinizle güvenle paylaşabilirsiniz.

---

Ders 2: Yapay Zeka Geliştirme Araçlarından Gelen OAuth İzinlerini Denetleyin

Vercel ihlali, tek bir yapay zeka aracına verilen OAuth izniyle başladı. Context.ai masum bir araçtı, saldırgan tarafından ele geçirildi.

Güncel ekosistemde Claude Code, Cursor, GitHub Copilot, Windsurf, v0 ve daha onlarca küçük yapay zeka aracı OAuth veya API erişimi talep ediyor. Her biri potansiyel bir pivot noktasıdır.

Ne Yapmalı

• Google Workspace, GitHub ve kimlik sağlayıcılarınızdaki tüm OAuth izinlerini envanterleyin.
  • Bilmediğiniz bir uygulamayı görünce erişimini iptal edin.
• Üç ayda bir denetim planı oluşturun.
  • Unutulan OAuth izinleri hızla birikir.
• En az ayrıcalık ilkesini uygulayın.
  • Yapay zeka araçlarına mümkün olan en dar erişimi verin. Salt okunur erişim tercih edin.
• Anormal OAuth davranışlarını izleyin.
  • Yönetici konsollarında üçüncü taraf uygulama erişimlerini ve yeni izinleri izleyin, uyarılar kurun.

Yapay Zeka Tedarik Zinciri Riski

2026 itibarıyla, geliştiriciler güvenlik incelemesini aşan hızda AI araçlarını çalışma alanlarına bağlıyor. Her entegre araç saldırı yüzeyinizi genişletir. Vercel olayı, küçük ve niş bir AI aracının bile büyük bir ihlal başlatabileceğini gösteriyor.

---

Ders 3: Tüm Ortam Değişkenlerini Varsayılan Olarak Hassas Kabul Edin

Vercel'in mimarisinde "hassas" özelliği isteğe bağlıydı. Varsayılan, şifrelenmemiş depolamaydı. Bir kutuyu işaretlemeyi unutan herkes, API anahtarlarını açığa çıkarabiliyordu.

Ne Yapmalı

• Varsayılan olarak şifreleme etkin olsun.
  • Platformunuzda "hassas" seçeneği varsa, tüm değişkenler için açın.
• Değişkenlerinizi sınıflandırın.
  • İki kategori: yapılandırma (sır olmayan), kimlik bilgisi (sır). Tüm kimlik bilgilerini şifreleyin.
• Adlandırma kuralları kullanın.
  • Sırları SECRET_ veya CREDENTIAL_ ile ön ekleyin. Kod incelemede kolayca tespit edilir.

# Yapılandırma (sır olmayan)
LOG_LEVEL=info
REGION=us-east-1
FEATURE_FLAG_NEW_UI=true

# Kimlik Bilgileri (her zaman beklemede şifrelenir)
SECRET_DATABASE_URL=postgresql://...
SECRET_API_KEY=sk-...
SECRET_WEBHOOK_SIGNING_KEY=whsec_...

• Sınıflandırmayı otomatikleştirin.
  • KEY, SECRET, TOKEN, PASSWORD veya CREDENTIAL içeren ve hassas olarak işaretlenmemiş değişkenler için CI kontrolü yazın.

---

Ders 4: Kimlik Bilgisi Rotasyonunu Otomatikleştirin

Vercel ihlali sonrası, müşterilerden tüm hassas olmayan ortam değişkenlerini anında döndürmeleri istendi. Otomatik rotasyon mekanizması olmayan ekipler için bu süreç acı verici şekilde manueldi.

Ne Yapmalı

• Kısa sona erme süreleri belirleyin.
  • API anahtarları/tokenları 90 günden kısa sürede sona ermeli.
• Sır yöneticinizde rotasyonu otomatikleştirin.
  • AWS Secrets Manager, HashiCorp Vault otomatik rotasyon destekler.
• Rotasyonu dağıtım hattınıza entegre edin.
  • Yeni sürümde kimlik bilgilerini otomatik olarak döndürün.
• Tatbikat yapın.
  • 3 ayda bir tüm kimlik bilgilerini 4 saat içinde döndürüp döndüremediğinizi test edin.

API Geliştiricileri İçin Rotasyon Kontrol Listesi

Bir ihlal sonrası sırayla döndürülmesi gerekenler:

1. Veritabanı kimlik bilgileri
2. Harici hizmetler için API anahtarları
3. OAuth istemci sırları
4. Webhook imzalama anahtarları
5. Dağıtım tokenları
6. Oturum imzalama anahtarları

---

Ders 5: CI/CD Hattınızı Bir API Saldırı Yüzeyi Olarak Güvence Altına Alın

CI/CD hattınız ortam değişkenlerini ve sırları okur, kod tabanınıza ve üretim kimlik bilgilerine erişir. Vercel'de saldırgan dağıtımları yöneten sistemlere erişti. Sizin hattınızda da risk aynıdır.

Ne Yapmalı

• Sırları belirli hatlarla sınırlandırın.
  • Üretim veritabanı URL'sini sadece ilgili işlere açın.
• CI'da kısa ömürlü kimlik bilgileri kullanın.
  • OIDC tokenları gibi, derleme sonrası süresi dolan kimlik bilgilerini tercih edin.
• Hat erişim günlüklerini denetleyin.
  • Sırlara erişen işler ve kullanıcıları izleyin, anormal erişimleri tespit edin.
• CI bağımlılıklarını sabitleyin.
  • Eylemleri değiştirilebilir etiket yerine commit SHA ile sabitleyin.

# Kötü: değiştirilebilir etiket
- uses: actions/checkout@v4

# İyi: belirli bir commite sabitlenmiş
- uses: actions/checkout@b4ffde65f46336ab88eb53be808477a3936bae11

• Derleme ortamlarını izole edin.
  • Her derlemeden sonra silinen kısa ömürlü çalıştırıcılar kullanın.

Apidog CI/CD Güvenliğinize Nasıl Uyar

Apidog'un CLI aracı, kimlik bilgilerini hat yapılandırmasına gömmeden CI/CD hatlarında API testleri yapmanıza imkân tanır. Kimlik bilgileri çalışma zamanında sır kasasından çekilir ve derleme bitince yok edilir.

---

Ders 6: API'leri Varsayılan Olarak Güvenlik Açık Olacak Şekilde Oluşturun

Vercel olayı gösterdi ki, güvenlik kontrolleri varsayılan olarak etkin olmalı; devre dışı bırakmak geliştirmecinin sorumluluğunda olmalı.

Ne Yapmalı

• Tüm uç noktalarda kimlik doğrulamasını zorunlu kılın.
  • Kimlik doğrulaması olmayan erişim istisna olmalı, kural değil.
• Varsayılan olarak hız sınırlama uygulayın.
  • Dakikada 100 istek gibi muhafazakar bir başlangıç limiti belirleyin.
• Minimal hata mesajı döndürün.
  • API'ler hata yanıtlarında iç detayları sızdırmamalı.
• Tüm girdileri doğrulayın.
  • Tür, uzunluk, aralık ve format kontrolü yapın.
• Kimlik doğrulama olaylarını günlüğe alın.
  • Oturum açma, başarısız deneme, token yenileme ve izin değişikliklerini kaydedin.

Apidog'da Güvenlik Şeması Tasarımı

Apidog, OAuth 2.0, JWT, mTLS, API Key ve Hawk dahil 13 kimlik doğrulama yöntemini destekler. Güvenlik şemalarını proje düzeyinde tanımlayıp tüm uç noktalara otomatik olarak uygularsınız. Bir uç nokta herkese açık olacaksa, güvenlik şemasını bilerek kaldırırsınız.

Her kimlik doğrulama yöntemini, özel istemci sertifikaları ve CA sertifikalarıyla mTLS dahil, Apidog arayüzünde test ederek dağıtımdan önce yapılandırmanızı doğrulayabilirsiniz.

---

Ders 7: Bir Olay Müdahale Eylem Planını İhtiyaç Duymadan Önce Oluşturun

Çoğu API güvenlik rehberi, kimlik bilgisi tehlikeye girdiğinde ne yapılacağını belirtmez. Vercel ihlali birçok ekibi hazırlıksız yakaladı.

API Kimlik Bilgisi Olay Müdahale Eylem Planınız

Aşama 1: Sınırlama (ilk 30 dakika)

• Potansiyel olarak açığa çıkan kimlik bilgilerini belirleyin
• En yüksek riskli kimlik bilgilerini hemen döndürün (veritabanı, ödeme işlemcileri)
• Gelişmiş API günlüğünü açın
• Bilinen saldırgan IP'lerini/tokenlarını engelleyin

Aşama 2: Değerlendirme (ilk 4 saat)

• API erişim günlüklerini analiz edin
• Tehlikeye atılmış kimlik bilgileriyle yapılan izinsiz çağrıları tespit edin
• Veri sızdırma desenlerini kontrol edin
• Erişilen ve erişilmeyenleri belgeleyin

Aşama 3: Onarım (ilk 24 saat)

• Kalan tüm kimlik bilgilerini döndürün (Ders 4'teki rotasyon kontrol listesine bakın)
• Tüm oturumları iptal edin, yeniden kimlik doğrulaması zorlayın
• OAuth izinlerini gözden geçirin ve iptal edin
• Güvenlik duvarı ve IP izin listelerini güncelleyin
• İhlale yol açan açığı kapatın

Aşama 4: İletişim (48 saat içinde)

• Etkilenen müşterileri ayrıntılı şekilde bilgilendirin
• API tüketicileri için rotasyon talimatları verin
• Olay sonrası analiz ve zaman çizelgesi yayınlayın
• Güvenlik belgelerini güncelleyin

Eylem Planınızı Apidog ile Test Etme

Apidog test senaryoları ile kimlik bilgisi tehlikeye atma senaryolarını simüle edebilirsiniz:

• Süresi dolmuş tokenların önbelleğe alınmış veri yerine 401 döndürdüğünü test edin
• Döndürülen API anahtarlarının eskileri hemen geçersiz kıldığını doğrulayın
• Kaba kuvvet saldırılarında hız sınırlamanın çalıştığını test edin
• Hata yanıtlarının dahili bilgi sızdırmadığını doğrulayın

Her kimlik bilgisi rotasyonundan sonra bu testleri CI/CD hattınızda otomatik olarak çalıştırın.

---

Gerçek Dünya Kullanım Senaryoları

Fintech API Platformu

Bir ödeme girişimi, Vercel açıklamasından sonraki 3 saat içinde 340 API anahtarını döndürdü. AWS Secrets Manager'a bağlı rotasyon komut dosyalarını kullanıyorlardı. Apidog API testleriyle döndürülmüş anahtarların çalıştığını dağıtımdan önce doğruladılar. Sıfır kesinti.

SaaS İşbirliği Aracı

Bir proje yönetimi API ekibi, ihlal açıklamasından sonra Vercel'de 17 şifrelenmemiş ortam değişkeni buldu. Tüm kimlik bilgilerini HashiCorp Vault'a taşıdılar, rotasyon sonrası Apidog test senaryoları kurdular ve şifrelenmemiş sırlarla yapılan dağıtımları engelleyen bir CI kontrolü eklediler.

E-ticaret API Ağ Geçidi

Bir e-ticaret platformu, OAuth izinlerini denetleyerek GitHub organizasyonuna erişimi olan 12 yapay zeka aracı buldu. Sekizi 6 aydan uzun süredir kullanılmıyordu. Tüm kullanılmayan izinler iptal edildi ve 3 aylık denetim döngüsü başlatıldı.

---

Sonuç

Vercel ihlali egzotik değildi. Çoğu API geliştirme iş akışında bulacağınız klasik kalıpları kullandı: düz metin sırlar, birikmiş OAuth izinleri ve isteğe bağlı güvenlik varsayılanları. Buradaki yedi ders teorik değil, saldırı zincirinin işleyişine doğrudan cevaptır.

Anahtar Çıkarımlar:

• Sırları yalnızca aktarımda değil, beklemede de şifreleyin
• Tüm OAuth izinlerini —özellikle yapay zeka araçlarını— denetleyin
• Tüm kimlik bilgileri için varsayılan olarak "hassas"ı etkinleştirin
• Rotasyonu ihtiyaç duymadan önce otomatikleştirin
• CI/CD hatlarını bir saldırı yüzeyi olarak değerlendirin
• Varsayılan olarak kimlik doğrulama açık şekilde API'ler oluşturun
• Olay müdahale eylem planınızı bu hafta yazın, bir ihlal sırasında değil

API kimlik bilgileriniz, zincirdeki en zayıf halka kadar güvenlidir. Vercel olayı, bu halkanın altı ay önce bağladığınız ve unuttuğunuz küçük bir yapay zeka aracı olabileceğini gösteriyor.

API iş akışınızı bugün güvence altına alın. Kimlik doğrulama yöntemlerinizi test etmek, sır yöneticinizi bağlamak ve güvenlik odaklı test senaryoları çalıştırmak için Apidog'u indirin; hepsi tek bir çalışma alanında, kredi kartı gerekmeden.

Sıkça Sorulan Sorular

Vercel Nisan 2026 güvenlik olayı neydi?

Saldırganlar, Context.ai adlı üçüncü taraf bir yapay zeka aracının OAuth uygulamasını tehlikeye atarak, bir Vercel çalışanının Google Workspace hesabını ele geçirmek için kullandı ve beklemede şifrelenmemiş olan müşteri ortam değişkenlerine erişti. İhlal 19 Nisan 2026'da açıklandı.

Vercel müşteri API anahtarları açığa çıktı mı?

"Hassas" olarak işaretlenmemiş müşteri ortam değişkenleri açığa çıktı. Buna, beklemede şifrelenmemiş olarak saklanan API anahtarları, veritabanı kimlik bilgileri ve dağıtım tokenları dahildir. Açıkça "hassas" olarak işaretlenmiş (beklemede şifrelenmiş) değişkenler tehlikeye atılmadı.

Vercel ortam değişkenlerimin şifreli olup olmadığını nasıl kontrol ederim?

Vercel panonuzda, Proje Ayarları > Ortam Değişkenleri bölümüne gidin. "Hassas" olarak işaretlenmiş değişkenler beklemede şifrelenmiştir. Bu bayrağı olmayan herhangi bir değişken şifrelenmemiş olarak saklanır ve etkilendiyseniz derhal döndürülmelidir.

API anahtarlarını güvenli bir şekilde saklamanın en iyi yolu nedir?

HashiCorp Vault, AWS Secrets Manager veya Azure Key Vault gibi özel bir sır yöneticisi kullanın. Bunlar sırları beklemede şifreler, otomatik rotasyon destekler ve denetim günlükleri sağlar. API anahtarlarını asla düz metin ortam değişkenlerinde, git depolarında veya yapılandırma dosyalarında tutmayın.

API anahtarlarını ne sıklıkla döndürmeliyim?

API anahtarlarını en az 90 günde bir döndürün. Yüksek riskli kimlik bilgileri (veritabanı parolaları, ödeme işlemcisi anahtarları) için her 30 günde bir döndürün. Altyapınızı veya bağımlı olduğunuz bir platformu etkileyen herhangi bir güvenlik olayından sonra tüm kimlik bilgilerini derhal döndürün.

OAuth tedarik zinciri saldırısı nedir?

Bir OAuth tedarik zinciri saldırısı, sistemlerinize OAuth erişimi olan üçüncü taraf bir uygulamayı hedefler. Sizi doğrudan saldırmak yerine, saldırgan üçüncü taraf uygulamayı tehlikeye atar ve mevcut OAuth izinlerini verilerinize erişmek için kullanır. Vercel ihlali tipik bir örnek.

Apidog, API güvenlik testine nasıl yardımcı olur?

Apidog, 13 kimlik doğrulama yöntemini destekler, önemli sır yöneticileriyle (HashiCorp Vault, Azure Key Vault, AWS Secrets Manager) entegre olur ve güvenlik odaklı test senaryoları çalıştırmanıza olanak tanır. Token sona ermesi, kimlik bilgisi rotasyonu, hız sınırlama ve hata yanıtı işleme gibi durumları CI/CD hattınızda çalışan otomatik testlerle doğrulayabilirsiniz.

Bir API kimlik bilgisi ihlalinden sonra ilk olarak ne yapmalıyım?

En yüksek riskli kimlik bilgilerinizi derhal döndürün: veritabanı parolaları, ödeme işlemcisi API anahtarları ve OAuth istemci sırları. Ardından tüm API uç noktalarında gelişmiş günlüğü etkinleştirin, maruz kalma penceresi için erişim günlüklerini inceleyin ve olay müdahale eylem planınızı sistematik olarak uygulayın.