Vercel confirms breach via third‑party AI tool, limited customer data exposed

Suara Pecari – 21 April 2026 | Vercel, penyedia platform cloud dan alat pengembangan, mengumumkan bahwa sistem internalnya telah diretas oleh aktor berpengalaman.

Insiden tersebut melibatkan akses tidak sah ke sebagian kecil pelanggan, dimana beberapa variabel lingkungan yang tidak ditandai sensitif terbuka.

Penyerang memanfaatkan celah pada Context.ai, sebuah layanan AI pihak ketiga, untuk memperoleh token OAuth yang terhubung ke akun Google Workspace seorang karyawan Vercel.

Token yang dicuri memungkinkan mereka melangkah lebih jauh ke dalam jaringan Vercel dan menelusuri konfigurasi lingkungan yang tidak dilindungi.

Vercel menegaskan bahwa variabel yang memang ditandai sensitif tetap aman dan tidak ada bukti akses tidak sah terhadap data tersebut.

Perusahaan juga melaporkan bahwa layanan inti tetap beroperasi tanpa gangguan signifikan.

Setelah menemukan pelanggaran, Vercel segera melibatkan pakar keamanan eksternal dan melaporkan kejadian ini ke penegak hukum.

Pengguna yang terdampak telah dihubungi untuk mengganti kredensial dan memeriksa kembali variabel lingkungan mereka.

CEO Vercel, Guillermo Rauch, menjelaskan dalam sebuah posting di X bahwa serangkaian langkah eskalasi dimulai dari akun Google Workspace karyawan yang terkompromi.

Rauch menambahkan bahwa kemampuan menandai variabel sebagai “non-sensitive” memudahkan penyerang mengakses data yang tidak dilindungi.

Penyerang mengklaim telah mengamankan akses ke kunci, kode sumber, dan konten basis data Vercel, serta menawarkan paket data tersebut di forum peretasan dengan harga hingga dua juta dolar AS.

Pernyataan tersebut belum dapat diverifikasi secara independen, dan Vercel belum mengonfirmasi adanya negosiasi tebusan.

Forum tempat tawaran data tersebut diposting menuduh keterlibatan kelompok ShinyHunters, yang kemudian membantah keterlibatan mereka.

Data yang diperdagangkan mencakup sekitar 580 rekam jejak karyawan dan tangkapan layar dasbor internal.

Context.ai mengakui bahwa insiden awal terjadi pada AI Office Suite mereka, yang kini telah dihentikan.

Perusahaan menjelaskan bahwa token OAuth yang terkompromi digunakan untuk mengakses sistem Vercel, dan mereka telah menutup lingkungan yang terdampak.

Context.ai bekerja sama dengan CrowdStrike untuk menilai dampak penuh dari kebocoran tersebut.

Vercel menegaskan bahwa produk open‑source seperti Next.js tidak terpengaruh oleh serangan ini.

Insiden ini menyoroti risiko serangan rantai pasokan, di mana pelanggaran pada satu layanan dapat membuka pintu ke platform lain melalui integrasi akun.

Pihak Vercel terus menyelidiki apakah data tambahan telah diekstraksi dan berkomitmen memperkuat kontrol keamanan internal.

Perusahaan mengingatkan seluruh pelanggan untuk rutin memutar ulang kredensial dan meninjau kebijakan penetapan sensitivitas variabel.

Dengan investigasi yang sedang berlangsung, Vercel berupaya memulihkan kepercayaan pengguna sambil memperkuat pertahanan siber mereka.