CEO Vercel menyatakan bahwa insiden keamanan terbaru dilakukan oleh kelompok peretas yang "sangat kompleks" dan kemungkinan memanfaatkan kecerdasan buatan, yang menyebabkan sistem internal disusupi dan sejumlah kredensial pelanggan bocor.
“Kami percaya kelompok penyerang sangat terampil, dan saya sangat mencurigai bahwa kecerdasan buatan sangat mempercepat serangan mereka,” kata CEO Guillermo Rauch di Twitter, menambahkan bahwa para penyerang “beroperasi dengan kecepatan luar biasa dan memiliki pemahaman mendalam tentang Vercel”.
Berikut adalah perkembangan penyelidikan insiden yang saya sampaikan kepada komunitas luas. Saya ingin menjelaskan situasinya secara langsung kepada semua orang.
Seorang karyawan dari perusahaan Vercel menjadi sasaran serangan akibat pelanggaran terhadap klien platform AI.https://t.co/xksNNigVfE Hal yang sedang ia gunakan saat itu. Selengkapnya...
— Guillermo Rauch (@rauchg)19 April 2026
Perusahaan ini adalah platform cloud yang berfokus pada pengembang, katanya pada hari Minggu, perusahaan menemukan sebagian sistem internal telah diakses tanpa otorisasi dan sedang melakukan penyelidikan aktif. Insiden ini memengaruhi sebagian pelanggan, di mana kredensial mereka bocor, sehingga perusahaan menyarankan pelanggan untuk segera mengganti kredensial mereka.
Kerentanan keamanan ini berasal dari alat AI pihak ketiga Context.ai yang digunakan oleh seorang karyawan Vercel yang disusupi, di mana penyerang memanfaatkan alat tersebut untuk mengambil alih akun Google Workspace karyawan tersebut dan mendapatkan akses ke beberapa lingkungan Vercel serta variabel lingkungan yang tidak sensitif.
Pengungkapan ini menyoroti meningkatnya kekhawatiran terhadap risiko keamanan yang ditimbulkan oleh integrasi pihak ketiga dan alat kecerdasan buatan, karena penyerang semakin sering memanfaatkan kerentanan rantai pasokan untuk menembus organisasi.
Vercel dan cryptocurrency
Natalie Newson, peneliti keamanan blockchain tingkat tinggi di CertiK, mengatakan kepada Decrypted bahwa insiden ini secara khusus menarik perhatian para pengembang kripto. “Karena banyak antarmuka pengguna kripto di-hosting menggunakan Vercel, setelah diserang, penyerang dapat menyisipkan program jahat untuk mencuri dana dompet. Pengguna yang berinteraksi dengan halaman tepercaya tidak akan mengantisipasi adanya perilaku jahat,” ujarnya, dan menambahkan, “kerentanan di bidang kripto dapat menyebabkan...” kerugian finansial besar
Meskipun kontrak pintar tetap aman, serangan pada frontend tetap merupakan risiko. “Serangan frontend sangat merugikan pengguna akhir,” katanya, menekankan hal ini. 牛交换 mengalami insiden pada April tahun ini di mana dompet pengguna dicuri sebesar $316.000.
Dia mengatakan bahwa tren naik agen AI menyebabkan banyak pengguna merilis aplikasi dan ekstensi terbaru untuk meningkatkan efisiensi kerja, sementara pelaku jahat juga memanfaatkan tren ini. Dia berkata: “Perusahaan harus sangat berhati-hati saat menggunakan aplikasi dan ekstensi AI baru, sekaligus meninjau model keamanan internal mereka untuk memastikan bahwa dampaknya diminimalkan bahkan jika terjadi pelanggaran keamanan.”
Laue mengatakan serangan ini dilakukan melalui "serangkaian metode", dimulai dengan pencurian akun karyawan, kemudian meningkat secara bertahap, hingga akhirnya mendapatkan akses yang lebih besar ke lingkungan internal. Meskipun Vercel menyimpan variabel lingkungan pelanggan dengan enkripsi statis, perusahaan tersebut memungkinkan beberapa variabel ditandai sebagai non-sensitif, sehingga penyerang dapat mengakses variabel-variabel tersebut.
Perusahaan tersebut percaya bahwa jumlah pelanggan yang terdampak terbatas dan menyatakan telah mengutamakan menghubungi pelanggan yang kemungkinan terpengaruh. Vercel kemudian menerapkan langkah pemantauan dan perlindungan tambahan, sekaligus meninjau rantai pasokannya untuk memastikan keamanan proyek-proyek seperti Next.js dan Turbopack.
CEO Nillion, John Woods, mengatakan kepada Decrypted bahwa "subhimpunan terbatas" ini biasanya berarti bahwa kelompok pelanggan yang terdampak yang saat ini teramati tampaknya terbatas, tetapi hal ini tidak secara otomatis mengecualikan penyebaran internal yang lebih luas atau risiko turunan yang lebih luas. Woods mengatakan: "Di platform cloud modern, cakupan dampak tidak hanya bergantung pada berapa banyak pelanggan awal yang secara jelas terdampak, tetapi juga pada sejauh mana sistem yang rusak dapat mencapai di latar belakang."
Dia menyarankan perusahaan untuk mengikuti serangkaian praktik terbaik untuk menghindari situasi semacam ini. “Perkuat keamanan otorisasi OAuth, terapkan prinsip hak akses minimum, terapkan kontrol ketat terhadap variabel lingkungan sensitif, pisahkan penyebaran frontend dari kunci atau izin tanda tangan, dan pantau penyebaran serta log secara ketat,” katanya.
“Bagi siapa pun yang mungkin mengalami pencurian kredensial, prioritas utama adalah mencabut akses, mengganti kredensial, dan meninjau setiap sistem yang mungkin dapat diakses oleh kredensial tersebut,” tambahnya, menunjukkan bahwa “dari perspektif yang lebih luas, pelajarannya adalah menghindari arsitektur yang jika terjadi kebocoran satu kali dapat berdampak terlalu luas.”
Belum jelas siapa yang merencanakan serangan ini. Screen capture Seorang pengguna organisasi peretas bernama "ShinyHunters" di forum mengklaim telah membobol Vercel dan sedang menjual akses ke data perusahaan, termasuk kode sumber, kunci API, dan sistem internal.
Aktor ini (yang mungkin juga menyamar sebagai ShinyHunters) mengklaim pernah berdiskusi dengan perusahaan mengenai permintaan tebusan sebesar $2 juta. Vercel belum memberikan komentar apa pun.