16 yaşındaki lise öğrencisi Daniel, Mintlify adlı yapay zeka destekli dokümantasyon platformunda kritik güvenlik açıkları keşfetti. Bu zafiyetler, XSS (Cross-Site Scripting) saldırılarına olanak tanıyarak, saldırganların birçok şirketin dokümantasyonuna kötü amaçlı komut dosyaları enjekte etmesine ve tek bir bağlantı açılmasıyla kullanıcı kimlik bilgilerini çalmasına imkan verdi. Bu durum, Discord, Vercel ve X gibi büyük şirketlerin tedarik zinciri saldırılarıyla hedef alınmasına yol açtı.
Daniel'ın hikayesi, Discord'un geliştirici dokümantasyon platformunu Mintlify'a taşımasıyla başladı. Discord'un API'sine ve platformuna aşina olan Daniel, yeni entegrasyonu incelemeye koyuldu. Mintlify'ın *.mintlify.app alan adları üzerinden çalıştığını ve özel alan adlarını desteklediğini fark etti. Discord, kendi alan adları üzerinden discord.mintlify.app adresine belirli rotaları proxy ediyordu. Daniel, dahili / _mintlify/* yolunu araştırırken, / _mintlify/_markdown/_sites/[subdomain]/[...route] uç noktasını keşfetti. Bu uç nokta, herhangi bir Mintlify alt alan adından dosya döndürüyordu ve bu durum, güvenlik kontrollerinin yetersiz olduğunu gösteriyordu.
Bu keşif, Daniel ve arkadaşlarının, Mintlify'ı kullanan şirketlerin dokümantasyon sayfaları üzerinden kendi kötü amaçlı içeriklerini sunmalarına olanak tanıyan bir tedarik zinciri saldırısı gerçekleştirmelerini sağladı. Bu sayede, platformu kullanan birçok büyük şirketin kullanıcıları potansiyel olarak tehlikeye atıldı. Daniel, bulgularını ilgili şirketlere bildirdi ve bu olay, üçüncü taraf hizmetlerin entegrasyonunda güvenlik denetimlerinin ne kadar kritik olduğunu bir kez daha gözler önüne serdi.
Üçüncü taraf hizmetlerin entegrasyonundaki güvenlik zafiyetleri, büyük teknoloji şirketlerini bile tedarik zinciri saldırılarına açık hale getirebilir.