Son yıllarda, çalışanların onaylanmamış yapay zeka araçlarını kullanmaları, kuruluşlar için ciddi bir endişe kaynağı haline gelmiştir. Ancak, çalışanların bu AI uygulamalarını ana iş uygulamalarına entegre etmesi, siber güvenlik açısından çok daha büyük riskler barındırmaktadır.

Saldırı Nasıl Çalışıyor?

Çalışanların bir AI uygulamasını, Google Workspace, Microsoft 365, Salesforce gibi temel platformlara bağlaması, kuruluşun siber güvenliği açısından kalıcı bir köprü oluşturur. Bu köprü, çalışan uygulamayı kullanmayı bıraktığında bile devam eder. Eğer üçüncü taraf bir güvenlik açığına maruz kalırsa, bu köprü doğrudan kuruluş sistemlerine giriş sağlar. Vercel’deki olay, bu durumu net bir şekilde ortaya koymaktadır. Context.ai adındaki bir AI uygulaması, bir Vercel çalışanı tarafından Google Workspace hesabına erişim izni verilerek kullanılmaya başlanmıştır. Context.ai’nın ihlal edilmesiyle birlikte, Vercel de bu durumdan etkilenmiştir.

Etkilenen Sistemler

Kuruluşlar, AI uygulamaları ile ilgili olarak farklı türde “gölge BT” sorunları ile karşı karşıyadır:

• Gölge Uygulamalar: Çalışanların onay almadan kullandığı uygulamalar. Bu, kurumsal veya kişisel hesaplarla erişilen uygulamaları içerir.
• Gölge Kiracılar: Çalışanların kişisel hesaplarıyla eriştiği, kuruluşun kontrolü dışında kalan uygulamalardır.
• Gölge Uzantılar: Birçok AI uygulaması, tarayıcı uzantıları ile gelir, bu da güvenilir olmayan veya kötü niyetli üçüncü parti uzantıları içerir.
• Gölge Entegrasyonlar: Bilinmeyen veya onaylanmamış OAuth bağlantılarıdır. Uygulama onaylı olsa bile, ana iş uygulamalarına doğrudan bağlanması, her zaman onaylanmış bir durum değildir.

Çözüm ve Korunma

Vercel vakası özellikle gölge entegrasyonların risklerini ortaya koymakta. Bu gibi durumları önlemek için aşağıdaki adımlar alınmalıdır:

• OAuth İzinlerini Sıkılaştırın: Kullanıcıların yeni entegrasyonlara onay vermesini otomatik olarak engelleyin. Bu, yeni güven ilişkileri kurmalarını kontrol altında tutar.
• Mevcut Entegrasyonları Denetleyin: Mevcut OAuth entegrasyonlarını düzenli olarak denetleyerek hala gerekli olup olmadıklarını kontrol edin. Her entegrasyon, saldırı yüzeyinizi genişletir.
• Google ve Microsoft’un Ötesini Düşünün: Ana iş bulutunu kontrol etmek yeterli değildir. SaaS’tan SaaS’a bağlantılar genellikle daha az görünürdür ve daha az kontrol imkanı sunar. Tüm uygulamalar üzerindeki OAuth izinlerine görünürlük sağlamalısınız.

Sonuç

Kuruluşların hemen güncellemeler yapması ve kullanıcılarının güvensiz entegrasyonlar oluşturmasını engellemesi gerekmektedir. OAuth izinlerini sıkı tutarak, mevcut entegrasyonları gözden geçirerek ve tüm SaaS uygulamalarına dikkat ederek, olası güvenlik açıklarını minimize edebilirsiniz.

Eğer bu konuda daha fazla bilgi ve yardım almak isterseniz, profesyonel bir danışım alarak sorununuzu derinlemesine incelemeniz tavsiye edilir.

Vercel, uygulama ve web barındırma devi, Perşembe günü hackerların bazı müşterilerinin verilerine eriştiğini duyurdu. Şirket, son veri ihlalinin, başlangıçta düşünüldüğünden daha geniş güvenlik etkileri olabileceğini öne sürdü.

Şirket, güvenlik ihlali sayfasındaki güncellemesinde, Nisan ayının başındaki ihlalde kötü niyetli etkinliklere dair kanıtlar bulduklarını açıkladı. İlk araştırmalarını genişlettiği için bu bulgulara ulaştıklarını belirtti.

“Bir dizi müşteri hesabında, sosyal mühendislik, kötü amaçlı yazılım veya diğer yöntemlerden kaynaklanan bağımsız ve bu olaydan önceki bir erişim kanıtı bulduk,” ifadesine yer verildi.

Vercel, Nisan incidenti nedeniyle daha fazla müşteri hesabının da etkilendiğini kaydetti, ancak detay vermedi. Yalnızca şu an için etkilenmiş müşterilere bilgi verildiğini belirtti.

San Francisco merkezli şirket, çalışanlarından birinin yazılım girişimi Context AI tarafından geliştirilmiş bir uygulamayı indirdiği için iç sistemlerinin ihlal edildiğini açıklamıştı. Hackerlar, bu uygulamayı kullanarak çalışanın iş hesabına erişti ve ardından Vercel’in sistemlerine sızdı.

Yeni güncelleme, veri ihlalinin başlangıçta düşünülenden daha büyük olabileceğini ve muhtemelen daha uzun sürdüğünü öne sürüyor.

Vercel CEO’su Guillermo Rauch, hackerların Vercel’in sistemlerine sızdığına dair X’teki bir gönderisinde onay verdi. Rauch, bu hackerların Context AI’deki ihlalin ötesinde aktif olduklarını belirtti ve Context AI, sistemlerinde daha önce bir ihlalin gerçekleştiğini bu hafta yapılan bir gönderide doğruladı.

Vercel’den bir sözcü, olay sayfasındaki güncelleme dışında yorum yapmayı reddetti. Hangi kadar müşterinin etkilendiğini veya ikinci ihlal zamanının ne derece geriye gittiğini doğrulamadı.

Vercel, hackerların sistemlerine nasıl sızdığını henüz doğrulamış değil, ancak Rauch, hackerların bilgisayarları “değerli anahtarlar gibi token’lar arayarak” etkileyen kötü amaçlı yazılımlara güvendiğini belirtti.

Rauch, bilgi çalan kötü amaçlı yazılımlar ya da infosteallerden bahsediyor olabilir. Bu tür yazılımlar, genellikle meşru yazılımların kılığında gizlenir. Kurulduklarında, mağdurun bilgisayarından parolalar ve diğer özel anahtarlar gibi hassas bilgileri toplar ve yüklerler. Bu, hackerların bu anahtarların sağladığı her sisteme giriş yapabilmelerini sağlar.

“Bir saldırgan bu anahtarlara ulaştığında, loglarımızda hızlı ve kapsamlı API kullanımıyla ilgili tekrarlayan bir kalıp görüyoruz. Bu, daha az hassas çevre değişkenlerinin sıralanmasına odaklanıyor,” dedi Rauch.

Hackerlar, çalınan Vercel çalışanının hesabını kullanarak şirketin iç sistemlerine erişti. Bu erişim, şifrelenmemiş müşteri bilgilerini içeriyordu.

Rauch’un yorumları, güvenlik araştırmacılarının belirttiği gibi, Context AI çalışanının bilgisayarının infostealer kötü amaçlı yazılımı ile enfekte olduğunu gösteriyor. Bu durum, çalışanının Roblox oyun bilgisini araştırdıktan sonra gerçekleşmiş.

Vercel ihlali ve müşteri verilerinin çalınmasından ne kadar sayıda müşterinin etkilendiği hala bilinmiyor. Hem Vercel hem de Context AI, ihlalin daha fazla şirketi etkileyebileceğini ve daha fazla mağdurun ortaya çıkabileceğini öne sürdü.

Makalemizde yer alan bağlantılardan birini satın aldığınızda, küçük bir komisyon kazanabiliriz. Bu durum, editoryal bağımsızlığımızı etkilemez.

Vercel, geçtiğimiz günlerde yaşanan bir güvenlik ihlalinin ardından, daha fazla müşteri hesabının etkilendiğini açıkladı. Bu olay, şirketlerin siber güvenlik önlemlerinin ne denli önemli olduğunu bir kez daha gözler önüne seriyor.

Saldırı Nasıl Çalışıyor?

Vercel, güvenlik araştırmalarını genişleterek, daha fazla tehlike göstergesi ve kayıtların incelenmesi sonucunda ek hesapların etkilenmiş olabileceğini tespit etti. Yapılan açıklamaya göre, bazı müşteri hesaplarının daha önce de hak ihlali yaşadığı belirtildi. İhlalin kaynağının  Context.ai  içinde yaşanan bir güvenlik açığı olduğu ve saldırganın bir Vercel çalışanının hesap bilgilerini ele geçirerek Vercel ortamına erişim sağladığı açıklandı.

Etkilenen Sistemler

 Vercel  hesaplarının ele geçirildiği bu güvenlik ihlali ile ilgili detaylar şu şekildedir:

• CVE Kodları: İlgili CVE kodları henüz duyurulmamıştır, ancak araştırmalar devam etmektedir.
• Versiyon Numaraları: Spesifik bir versiyon numarası verilmemiştir, ancak olayın etkilediği sistemler için genel güvenlik taramaları yapılması önerilmektedir.
• İhlal Yöntemleri: Sosyal mühendislik, kötü amaçlı yazılım kullanılarak erişim sağlanmıştır.

Çözüm ve Korunma

Vercel, etkilenen müşterilere bildirimde bulundu. Ancak tam olarak kaç hesabın etkilendiği açıklanmamıştır. Olayın ardından siber güvenlik uzmanları, bu tür olayların önlenmesi için bazı önlemler önermektedir:

• Özellikle  OAuth  entegrasyonlarının kullanımında dikkatli olunmalı ve gerekli güvenlik incelemeleri yapılmalıdır.
• Şirket içindeki tüm yapılara erişim izinleri sıkı bir şekilde kontrol edilmeli ve gerekirse güncellenmelidir.
• Etkin güvenlik taramaları uygulanmalı ve zafiyetlere karşı proaktif önlemler alınmalıdır.

Sonuç

Bu tip güvenlik ihlalleri, şirketlerin bilinmeyen risklerle karşı karşıya kaldığını göstermektedir. Kullanıcıların ve yöneticilerin dikkatli olmaları, hesaplarını güçlendirmeleri ve sistem güncellemelerini düzenli olarak takip etmeleri gerekmektedir.  Güncellemeleri uygulayın  ve gerekirse  portlarınızı kapatın . Cybersecurity çözümlerinizi güçlü bir şekilde gözden geçirin ve siber hijyen kurallarına uyun.

Bu hafta sonu, bulut uygulama barındırma devi Vercel, siber saldırganların iç sistemlerine sızdığını ve müşteri verilerine eriştiğini duyurdu. Saldırganlar, Vercel’in sistemlerinden hassas müşteri kimlik bilgilerini çaldıklarını ve bu verileri çevrimiçi ortamda sattıklarını iddia etti.

Vercel, Pazar günü yaptığı açıklamada, ihlalin başka bir yazılım geliştiricisi olan Context AI’den kaynaklandığını belirtti. Vercel’in bir çalışanı, Context AI tarafından geliştirilen bir uygulamayı indirip Google üzerinde barındırılan kurumsal hesabıyla bağlantı kurdu. Saldırganlar, bu bağı (OAuth olarak bilinir) kullanarak Vercel çalışanının Google hesabını ele geçirerek, şifrelenmemiş kimlik bilgileri dahil olmak üzere bazı iç sistemlere erişim sağladı.

Vercel Projeleri Güvende

Vercel, Next.js ve Turbopack projelerinin ihlaldan etkilenmediğini belirtti. Her iki açık kaynak projesi, web ve uygulama geliştiricileri arasında yaygın olarak kullanılmaktadır.

Şirket, uygulama verileri ve anahtarları tehlikeye atılan müşterileri bilgilendirdi.

Parola Değiştirme Tavsiyesi

Ayrıca X üzerindeki paylaşımlarında, Vercel CEO’su Guillermo Rauch, müşterilere “hassas olmayan” uygulama dağıtımlarında anahtar ve kimlik bilgilerini değiştirmelerini önerdi.

Vercel ve Context AI’deki ihlalin arkasındaki kişi veya kişilerin kim olduğu belirsizliğini koruyor. Veri satan tehdit aktörü, bir siber suç forumundaki ilanında ShinyHunters adlı hacker grubunu temsil ettiğini iddia etti. TechCrunch tarafından görülen bu ilan, saldırganların Vercel’den çalınan müşteri API anahtarlarına, kaynak koduna ve veritabanı verilerine erişim sattıklarını öne sürdü.

ShinyHunters grubunun, bulut tabanlı ve veritabanı şirketlerine sızmaya yönelik eylemleriyle tanındığı biliniyor ve siber güvenlik haber sitesi Bleeping Computer ile yaptığı açıklamada bu olayla ilgileri olmadığını belirtti.

Hack’in ayrıntıları hâlâ netleşirken, bu güvenlik açığı, son aylarda yazılım geliştiricilerini hedef alan “tedarik zinciri” saldırılarının en yenisi. Geniş çapta kullanılan yazılımları tehlikeye atarak, saldırganlar bir dizi hedeften kimlik bilgilerini çalabilir ve diğer bulut devlerinin depolarındaki büyük miktarda veriye erişim sağlayabilirler.

Vercel, saldırının detayları hakkında daha fazla bilgi vermekten kaçındı ve olayı araştırdıklarını belirtti. Aynı zamanda Context AI’den bilgi talep ettiklerini ifade etti. Vercel, bu ihlalin “birçok organizasyonda yüzlerce kullanıcının” etkilenebileceği uyarısını yaptı ve teknoloji endüstrisinde potansiyel alt kırılma riskine dikkat çekti.

Context AI, AI modelleri için değerlendirme ve analitik geliştiren bir şirket olup, Mart ayında Context AI Office Suite tüketici uygulamasında bir ihlal yaşandığını doğruladı. Bu uygulama, kullanıcıların birden fazla üçüncü taraf uygulaması aracılığıyla işlemleri ve iş akışlarını otomatikleştirmesine imkan tanıyor.

Context AI, web sitesinde yaptığı açıklamada, bir müşteriyi ihlal hakkında bilgilendirdiklerini ancak Vercel’in olayı ışığında, durumun düşündüklerinden daha geniş olabileceğine inandıklarını bildirdi. Şirket, “saldırganların bazı tüketici kullanıcılarımızın OAuth token’larını muhtemelen ele geçirdiklerini” ifade etti.

Context AI, ihlal ile ilgili yorum talebine veya sorulara yanıt vermedi. Neden ihlali zamanında duyurmadıkları veya hackerın herhangi bir talebi olup olmadığı belirsizliğini koruyor.

Vercel, olayla ilgili olarak etkilenen müşteri sayısı hakkında herhangi bir açıklama yapmadı.

Alakalı bir Context AI referansının kaldırıldığı belirtilmiştir.