Pembaruan 19/04/26: Menambahkan informasi tambahan dari Vercel yang diungkapkan setelah dipublikasikan.
Platform pengembangan cloud Vercel telah mengungkapkan insiden keamanan setelah pelaku ancaman mengklaim telah melanggar sistemnya dan mencoba menjual data yang dicuri.
Vercel adalah platform cloud yang menyediakan infrastruktur hosting dan penerapan untuk pengembang, dengan fokus kuat pada kerangka JavaScript.
Perusahaan ini terkenal karena mengembangkan Next.js, kerangka kerja React yang banyak digunakan, dan menawarkan layanan seperti fungsi tanpa server, komputasi edge, dan pipeline CI/CD yang memungkinkan pengembang membuat, melihat pratinjau, dan menerapkan aplikasi.
Dalam buletin keamanan yang diterbitkan hari ini, perusahaan mengatakan sebagian kecil pelanggan terkena dampak pelanggaran keamanan.
“Kami telah mengidentifikasi insiden keamanan yang melibatkan akses tidak sah ke sistem internal Vercel tertentu,” memperingatkan Vercel.
“Kami sedang menyelidiki secara aktif, dan kami telah melibatkan pakar tanggap insiden untuk membantu menyelidiki dan memulihkannya. Kami telah memberi tahu penegak hukum dan akan memperbarui halaman ini seiring dengan kemajuan penyelidikan.”
Perusahaan mengatakan layanannya tidak terkena dampak dan pihaknya sedang bekerja sama dengan pelanggan yang terkena dampak.
Vercel mengatakan pihaknya mengambil langkah-langkah untuk melindungi pelanggannya, dan menyarankan mereka untuk melakukannya meninjau variabel lingkungangunakan itu fitur variabel lingkungan sensitifdan untuk memutar rahasia jika diperlukan.
Setelah memublikasikan cerita ini, Vercel memperbarui sarannya untuk menyatakan bahwa pelanggaran tersebut berasal dari penyusupan aplikasi OAuth Google Workspace pada alat AI pihak ketiga.
Vercel menyarankan administrator Google Workspace dan pemilik akun Google untuk memeriksa aplikasi berikut:
OAuth App: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com
CEO Vercel Guillermo Rauch kemudian membagikan rincian tambahan pada Xmenyatakan bahwa akses awal terjadi setelah akun Google Workspace karyawan Vercel disusupi melalui pelanggaran di platform AI Context.ai.
Menurut Rauch, penyerang kemudian meningkatkan akses dari akun yang disusupi ke lingkungan Vercel, di mana mereka dapat mengakses variabel lingkungan yang tidak ditandai sebagai sensitif dan oleh karena itu tidak dienkripsi saat diam.
Meskipun dimaksudkan untuk memuat informasi non-sensitif, penyerang memperoleh akses lebih lanjut setelah menghitung variabel-variabel ini.
“Vercel menyimpan semua variabel lingkungan pelanggan yang dienkripsi sepenuhnya saat disimpan. Kami memiliki banyak mekanisme pertahanan mendalam untuk melindungi sistem inti dan data pelanggan,” kata Rauch.
“Namun, kami memiliki kemampuan untuk menetapkan variabel lingkungan sebagai ‘tidak sensitif’. Sayangnya, penyerang mendapat akses lebih lanjut melalui enumerasi mereka.”
Investigasi perusahaan telah mengonfirmasi bahwa Next.js, Turbopack, dan proyek sumber terbuka lainnya tetap aman.
Vercel juga telah meluncurkan pembaruan pada dasbornya, termasuk halaman ikhtisar variabel lingkungan dan antarmuka yang ditingkatkan untuk mengelola variabel lingkungan yang sensitif.
Pelanggan sangat disarankan untuk meninjau variabel lingkungan untuk informasi sensitif dan mengaktifkan fitur variabel sensitif untuk memastikan variabel tersebut dienkripsi saat disimpan.
Jika Anda memiliki informasi mengenai insiden ini atau serangan lain yang dirahasiakan, Anda dapat menghubungi kami secara rahasia melalui Signal di 646-961-3731 atau di tips@bleepingcomputer.com.
Peretas mengaku menjual data Vercel yang dicuri
Pengungkapan ini terjadi setelah pelaku ancaman yang mengaku sebagai “ShinyHunters” memposting di forum peretasan bahwa mereka telah melanggar Vercel dan menjual akses ke data perusahaan.
Perlu dicatat bahwa meskipun peretas mengaku sebagai bagian dari grup ShinyHunters, pelaku ancaman yang terkait dengan serangan baru-baru ini yang dikaitkan dengan geng pemerasan ShinyHunters telah menyangkal kepada BleepingComputer bahwa mereka terlibat dalam insiden ini.
Dalam postingan forum tersebut, peretas mengaku menjual kunci akses, kode sumber, dan data database yang diduga dicuri dari Vercel, beserta akses ke penerapan internal dan kunci API.
“Ini hanya dari Linear sebagai bukti, tetapi akses yang akan saya berikan kepada Anda mencakup beberapa akun karyawan dengan akses ke beberapa penerapan internal, kunci API (termasuk beberapa token NPM dan beberapa token GitHub),” membaca postingan forum.
Penyerang juga membagikan file teks berisi informasi karyawan Vercel, yang terdiri dari 580 catatan data yang berisi nama, alamat email Vercel, status akun, dan stempel waktu aktivitas. Mereka juga membagikan tangkapan layar yang tampak seperti dasbor internal Vercel Enterprise.
BleepingComputer belum dapat memastikan secara independen apakah data atau tangkapan layar tersebut asli.
Dalam pesan yang dibagikan di Telegram, pelaku ancaman juga mengklaim bahwa mereka telah melakukan kontak dengan Vercel mengenai insiden tersebut dan bahwa mereka membahas dugaan permintaan uang tebusan sebesar $2 juta.
BleepingComputer menghubungi Vercel dengan pertanyaan tambahan tentang pelanggaran tersebut, termasuk apakah ada data atau kredensial sensitif yang terungkap dan apakah mereka sedang bernegosiasi dengan penyerang, dan akan memperbarui cerita ini jika kami menerima tanggapan.
Pembaruan 19/04/26 18:14 ET: Artikel diperbarui untuk menambahkan informasi lebih lanjut yang diungkapkan oleh Vercel.
Pembaruan 19/04/26 19:21 ET: Artikel yang diperbarui dengan informasi tambahan dari CEO Vercel.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
