Vercel amplía la divulgación del incidente y suma más cuentas de clientes afectadas

Vercel dijo este jueves que su investigación sobre el incidente de seguridad de abril se amplió y que ahora confirmó que un pequeño número adicional de cuentas de clientes fue comprometido como parte del incidente. La empresa también indicó que encontró otro pequeño grupo de cuentas de clientes con señales de compromiso que parecen separadas del breach de abril.

Esa diferencia importa. Vercel no está diciendo que sus sistemas internos estuvieran comprometidos en silencio desde antes de lo que había revelado. Lo que dice es que la revisión ampliada arrojó dos hallazgos: más cuentas afectadas vinculadas al incidente de abril y compromisos separados en algunas cuentas de clientes que no parecen haberse originado en sistemas de Vercel. Aun así, la actualización eleva el riesgo para los equipos que usan Vercel para deployments, environment variables y flujos de production.

Según el boletín de incidente de Vercel, la intrusión original comenzó después de que los atacantes comprometieran Context.ai, una herramienta externa de AI utilizada por un empleado de Vercel. Ese acceso se usó para tomar la cuenta de Google Workspace del empleado y luego su cuenta de Vercel. Desde allí, los atacantes se movieron por sistemas de Vercel para enumerar y descifrar environment variables marcadas como non-sensitive.

Esas variables pueden seguir siendo muy valiosas en la práctica. API keys, tokens, credenciales de bases de datos y secretos de firma suelen vivir en la configuración del entorno y, si no estaban protegidos como sensitive variables, podrían haber quedado legibles para un atacante. Vercel dice que sus paquetes npm no fueron comprometidos, lo que reduce el riesgo de una crisis de supply chain y lo concentra más en cuentas y secretos expuestos.

La implicación más amplia es incómoda para los proveedores de infraestructura para desarrolladores. Las plataformas de hosting modernas están muy cerca de los sistemas de production, y una sola cuenta de empleado comprometida puede convertirse en un camino hacia entornos de clientes si los secretos y permisos están demasiado expuestos. El patrón descrito por Vercel y reportado por TechCrunch también apunta a ataques tipo infostealer y abuso de OAuth como un riesgo creciente alrededor de herramientas de AI y flujos de desarrollo.

Vercel dice que ya notificó a los clientes afectados, añadió nuevas protecciones para environment variables y recomendó rotar credenciales, revisar los activity logs y activar MFA más fuerte. Como informó primero TechCrunch y detalló el propio boletín de seguridad de Vercel, la empresa no ha revelado cuántos clientes están afectados, pero la actualización es relevante porque muestra que el incidente alcanzó más cuentas de las confirmadas al principio y todavía podría revelar más víctimas.