Vercel, unul dintre cei mai importuni furnizori de găzduire pentru aplicații și site-uri web, a confirmat într-o actualizare a paginii de incident de securitate că hackerii au accesat datele unor clienți chiar și înainte de descoperirea breach-ului din începutul aprilie 2026 – o revelație care sugerează că incidentul de securitate poate fi mult mai extins și mai complex decât inițial crezut. În mesajul publicat pe pagina oficială de incident, Vercel a declarat: „Am identificat un număr mic de conturi de clienți cu dovezi de compromis anterior, independent de și anterior acestui incident, posibil ca rezultat al ingineriei sociale, a malware-ului sau a altor metode”. Această afirmație indică că atacatorii au putut avea acces la sistemele companiei timp de câteva săptămâni, poate chiar luni, înainte de a declanșa atacul principal care a dus la expunerea credentialelor de clienti necriptate.
Breach-ul inițial a fost atribuit descărcării unei aplicații nefaste de către un angajat Vercel, creat de startup-ul Context AI – o aplicație pe care hackerii au abusat ea pentru a obține acces la contul de muncă al angajatului și, prin extensie, la rețeaua internă a Vercel. Totuși, noua actualizare sugerează că atacatorii au putut să-și mențină prezența în sistem chiar și după ce Context AI a fost compromis, indicând o campanie de atac mai durabilă și mai sofisticată. CEO-ul Vercel, Guillermo Rauch, a confirmat pe X (fmr. Twitter) că hackerii „au fost activați mai mult decât doar prin compromisul Context AI”, adăugând că au folosit malware de tip infostealer – un tip de software malicios care se maskhează ca aplicație legitimă și, odată instalat, colectează și transmită date sensible precum parole, chei API, tokenuri de autentificare și alte secrete stocate local pe mașina victimei.
Rauch a explicat că, odată ce atacatorii au obținut aceste chei, jurnalurile de sistem au arătat un model repetat: „utilizare rapidă și exhaustivă a API-urilor, cu accent pe enumerarea variabilelor de mediu ne-sensibile” – un comportament tipic pentru explorarea sistemelor în căutarea de puncte de intrare suplimentare, fără să déclanșeze alarme imediată. Acest lucru sugerează că atacatorii nu au căutat doar date imediat valoroase, ci au încercat să mapreze infrastructura Vercel pentru a identifica vulnerabilități care le-ar permite să mențină accesul pe termen lung.
Deși Vercel a notificat clienții afectați pe care îi-a identificat până acum, companie nu a divulgat numărul exact de conturi compromise, nici perioada timpului în care atacatorii au fost activați. Un portavoc al Vercel a refuzat să ofere detalii suplimentare, declarând că investigația este în curs și că vor comunica doar informațiile confirmate. Totuși, declarațiile lui Rauch, combinate cu confirmarea de la Context AI despre un breach anterior al sistemelor lor – atribuit, conform unor cercetători de securitate, unui angajat care a căutat trucuri pentru jocul Roblox și a descărcat inadvert un infostealer – pun accent pe o lanț de vulnerabilități care a pornit de la un comportament seemingly inofensiv și a crescut într-o amenință de securitate de scară largă.
Acest incident subliniază o tendință alarmantă în securitatea cibernetică modernă: atacatorii nu se limitează mai mult la exploatarea vulnerabilităților tehnice, ci se concentrează pe factorul uman – prin inginerie socială, malware camuflat și exploatarea obiceiilor de navigare ne-sigure. Cazul Vercel arată cât de ușor poate fi compromisă o întreagă infrastructură de cloud printr-un singur click neintenționat, și cât de greu poate fi detectat un atac care operează în tăcere, colectând date pe termen lung fără să déclanșeze alarme de securitate tradiționale.
De asemenea, ambele companii – Vercel și Context AI – au sugerat că breach-ul poate avea efecte în lanț, afectând nu doar clienții lor directi, ci și alte furnizori sau platforme cu care acestea interacționează prin API-uri sau integrări. Deși nu există încă dovizi concrete de propagare la alte companii, experții în securitate avertizează că tokenurile și cheile furate pot fi folosite pentru a intra în sistemele de la furnizori de servicii cloud, platforme de plată, sau chiar repositorii de cod – creând un risc de compromitere în lanț care ar putea afecta sute sau mii de organizații.
Până în prezent, Vercel nu a oferit un cronogram detaliat al incidentei, nici nu a specificat dacă datele furate au inclus informații personale identificabile (PII), cod sursă proprietar sau configurări de infrastructură sensibile. Totuși, faptul că credentialele de client au fost stocate necriptate în sistemele interne raisează serioase întrebări despre practicile de securitate ale companiei – mai ales în contextul în care Vercel se prezintă ca o platformă de încredere pentru dezvoltatori și companii care construiesc aplicații critice.
În concluzie, incidentul Vercel nu este doar un alt breach de date – este un semnal de alarmă despre cât de fragilă poate fi securitatea în era cloud, când un singur act de neatenție (cum ar fi descărcarea unei aplicații neverificate) poate deschide ușa unui atac sofisticat, durabil și dificil de detectat. Pentru companiile care se bazează pe servicii precum Vercel, acest eveniment subliniază necesitatea unei abordări proactivă la securitate: monitorizare continuă a activității sospechă, autentificare multi-factor obligatorie, educare constantă a angajaților privind riscurile malware-ului și a infostealerilor, și, esențial, criptarea datelor sensibile – chiar și în mediile interne. Fără aceste măsuri, chiar și cei mai buni furnizori de cloud pot deveni puncte de intrare în atacuri care depășesc conștientizația și controlul lor.
Vercel confirmă că datele unor clienți au fost furate chiar și înainte de hack-ul recent, sugerând o vulnerabilitate mai profundă
