Провайдер веб-инфраструктуры Vercel подтвердил факт серьёзного нарушения безопасности, которое произошло 19 апреля 2026 года. Инцидент привёл к несанкционированному доступу к внутренним системам компании и потенциальному раскрытию переменных окружения, не помеченных как конфиденциальные.
Причиной взлома стал скомпрометированный аккаунт сотрудника, доступ к которому злоумышленник получил через стороннюю AI-платформу Context.ai. Эта платформа, используемая для создания агентов на основе корпоративных знаний, была интегрирована в среду Vercel и имела широкие права доступа OAuth к Google Workspace. После взлома Context.ai атакующий получил контроль над учётной записью сотрудника в Google Workspace, что позволило проникнуть в определённые внутренние среды Vercel.
Генеральный директор Vercel Гильермо Рауч в своём посте на X (бывший Twitter) заявил: «Атакующий затем смог скомпрометировать учётную запись Google Workspace сотрудника Vercel». Он описал злоумышленника как «высококвалифицированного, исходя из операционной скорости и детального понимания систем Vercel».
На хакерском форуме появились сообщения от пользователя под псевдонимом ShinyHunters, который предложил за $2 млн продать данные Vercel, включая ключи доступа, исходный код, данные баз данных, внутренние развёртывания и API-ключи. Также был опубликован текстовый файл с информацией о 580 сотрудниках компании. Vercel не подтвердила полный масштаб этих заявлений, отметив, что затронуто лишь «ограниченное» число учётных данных клиентов.
Криптоиндустрия отреагировала оперативно, учитывая широкое использование Vercel для хостинга интерфейсов кошельков и фронтенд-панелей многими web3-командами. Например, децентрализованная биржа Orca на Solana заявила, что её фронтенд размещён на Vercel, и в качестве меры предосторожности были заменены все учётные данные для развёртывания. При этом сам протокол и средства пользователей не пострадали.
Vercel предприняла ряд защитных мер, включая развёртывание расширенного мониторинга, анализ цепочки поставок ПО и привлечение кибербезопасной компании Mandiant, а также уведомление правоохранительных органов. Компания подтвердила, что ключевые проекты, такие как Next.js и Turbopack, остаются в безопасности, и рекомендовала всем пользователям заменить секретные ключи и отслеживать активность в своих средах.
