A Vercel confirmou que sofreu uma invasão em seus sistemas internos, resultando no acesso indevido a dados de clientes. Os responsáveis pelo ataque afirmam ter obtido credenciais sensíveis e estariam oferecendo essas informações para venda na internet.
Brecha veio de integração com app externo
Segundo a empresa, o incidente teve origem em um aplicativo da Context AI. Um funcionário da Vercel instalou a ferramenta e a conectou à sua conta corporativa hospedada pelo Google.
A partir dessa integração via OAuth, os invasores conseguiram assumir o controle da conta do colaborador e acessar sistemas internos — incluindo credenciais que não estavam criptografadas.
Projetos populares não foram afetados
A Vercel informou que seus principais projetos open source, como Next.js e Turbopack, não foram impactados pelo incidente.
Ainda assim, clientes com dados comprometidos já foram notificados. O CEO da empresa, Guillermo Rauch, recomendou que usuários façam a rotação imediata de chaves e credenciais marcadas como “não confidenciais”.
Hackers e suspeitas
Não há confirmação sobre quem está por trás do ataque. O responsável pela venda dos dados alegou ligação com o grupo ShinyHunters, mas o próprio grupo negou qualquer envolvimento.
Entre as informações supostamente roubadas estariam chaves de API, código-fonte e dados de banco.
Risco ampliado na cadeia de suprimentos
O caso se encaixa em uma tendência crescente de ataques à cadeia de suprimentos, onde criminosos exploram ferramentas e integrações amplamente utilizadas para atingir múltiplas organizações ao mesmo tempo.
A Vercel alerta que o impacto pode ir além de seus próprios sistemas, afetando centenas de usuários em diferentes empresas e abrindo caminho para novos incidentes.
Context AI também foi comprometida
A Context AI confirmou que sofreu uma violação anterior envolvendo seu aplicativo Context AI Office Suite, usado para automatizar fluxos de trabalho com integrações de terceiros.
Segundo a empresa, tokens OAuth de alguns usuários podem ter sido comprometidos — o que reforça a hipótese de que o ataque tenha sido mais amplo do que inicialmente divulgado.
Até o momento, não está claro por que a falha não foi amplamente divulgada na época nem se houve exigência de resgate por parte dos invasores.
