Vercel amplia divulgação do incidente e inclui mais contas de clientes afetadas

A Vercel disse nesta quinta-feira que sua investigação sobre o incidente de segurança de abril foi ampliada e que agora confirmou que um pequeno número adicional de contas de clientes foi comprometido como parte do incidente. A empresa também afirmou ter encontrado outro pequeno grupo de contas de clientes com sinais de compromise que parecem separados do breach de abril.

Essa distinção importa. A Vercel não está dizendo que seus sistemas internos estavam comprometidos silenciosamente havia mais tempo do que o divulgado. O que ela diz é que a revisão ampliada trouxe dois achados: mais contas afetadas ligadas diretamente ao incidente de abril e compromissos separados em algumas contas de clientes que não parecem ter se originado nos sistemas da Vercel. Ainda assim, a atualização aumenta o alerta para equipes que usam Vercel em deployments, environment variables e fluxos de production.

Segundo o boletim de incidente da Vercel, a invasão original começou depois que atacantes comprometeram a Context.ai, uma ferramenta externa de AI usada por um funcionário da empresa. Esse acesso foi usado para assumir a conta de Google Workspace do funcionário e depois sua conta da Vercel. A partir daí, os invasores se moveram pelos sistemas da Vercel para enumerar e descriptografar environment variables marcadas como non-sensitive.

Essas variáveis ainda podem ser extremamente valiosas na prática. API keys, tokens, credenciais de banco de dados e segredos de assinatura costumam ficar na configuração do ambiente e, se não estavam protegidos como sensitive variables, podem ter ficado legíveis para um atacante. A Vercel diz que seus pacotes npm não foram comprometidos, o que reduz o risco de um caso de supply chain e concentra a preocupação em contas e segredos expostos.

A implicação mais ampla é desconfortável para fornecedores de infraestrutura de desenvolvimento. Plataformas modernas de hosting ficam muito próximas dos sistemas de production, e uma única conta de funcionário comprometida pode virar um caminho para ambientes de clientes se segredos e permissões estiverem expostos demais. O padrão descrito pela Vercel e reportado pela TechCrunch também aponta para ataques do tipo infostealer e abuso de OAuth como um risco crescente em torno de ferramentas de AI e workflows de desenvolvimento.

A Vercel diz que notificou os clientes afetados, adicionou novas proteções para environment variables e recomendou rotacionar credenciais, revisar activity logs e ativar MFA mais forte. Como a TechCrunch reportou primeiro e o boletim da própria Vercel detalha, a empresa não revelou quantos clientes foram afetados, mas a atualização é relevante porque mostra que o incidente atingiu mais contas do que se sabia inicialmente e ainda pode expor outras vítimas.