Платформа для хостинга и деплоя веб-приложений сообщила о «инциденте безопасности», который затронул часть клиентов. По данным компании, злоумышленники получили доступ через скомпрометированное Google Workspace OAuth-приложение стороннего ИИ-сервиса.
Vercel не раскрыла точное число пострадавших, но заявила, что речь идёт об «ограниченном подмножестве» клиентов. Компания призвала администраторов проверить журналы активности, пересмотреть переменные окружения и при необходимости срочно сменить токены, ключи API и другие секреты.
Позже Vercel уточнила, что источником атаки стал сервис Context.ai, которым пользовался один из сотрудников. Через компрометацию этого инструмента злоумышленники захватили Google Workspace-аккаунт сотрудника и смогли получить доступ к части внутренних сред Vercel и к некоторым переменным окружения, не помеченным как sensitive.
Параллельно человек, назвавший себя участником ShinyHunters, начал предлагать к продаже якобы украденные данные. В публикациях фигурировали имена сотрудников, адреса электронной почты, временные метки активности и упоминания внутренних данных и ключей доступа. Vercel саму продажу не подтверждала, но признала факт несанкционированного доступа.
По сути, история бьёт не столько по самому Next.js или инфраструктуре деплоя, сколько по цепочке доверия вокруг внешних ИИ-сервисов и OAuth-интеграций. Vercel уже опубликовала индикаторы компрометации и отдельно предупредила, что инцидент может затронуть и другие организации, использовавшие то же OAuth-приложение в Google Workspace.
