Vercel heeft een beveiligingsincident bevestigd waarbij een “beperkte subset” van klanten werd getroffen na ongeautoriseerde toegang tot bepaalde interne systemen. Het bedrijf, dat bekend staat om zijn rol in het webdeployment-ecosysteem, Next.js, edge- en serverloze functies, verzekerde dat zijn diensten niet onderbroken werden en dat het onderzoek nog loopt, ondersteund door externe specialisten en de autoriteiten die al op de hoogte zijn gesteld.
Het meest interessante aan deze zaak is niet alleen dat Vercel slachtoffer werd van een inbraak, maar vooral de wijze waarop. Volgens hun eigen bulletin kwam de initiële toegang niet door een klassieke kwetsbaarheid in het publieke platform, maar door het compromitteren van Context.ai, een externe AI-tool die door een medewerker wordt gebruikt. Vervolgens nam de aanvaller controle over het Google Workspace-account van die medewerker en kreeg hij toegang tot enkele interne omgevingen en omgevingsvariabelen die niet als “gevoelig” waren gemarkeerd.
Dit detail wijzigt de technische interpretatie van het incident aanzienlijk. Het gaat niet om een simpel “hacken van Vercel”, maar om een actueel voorbeeld van een aanval op de vertrouwensketen in SaaS: een derde-partij OAuth-app, een gecompromitteerde bedrijfsidentiteit en een interne escalatie gebaseerd op geheime gegevens en operationele metadata. Guillermo Rauch, CEO van het bedrijf, voegde toe dat de variabelen die als gevoelig waren gemarkeerd, wel versleuteld stonden in rust, maar erkende dat de aanvaller verder kwam door het enumereren van variabelen die niet als gevoelig waren aangeduid.
Voor een techmedium is dat het cruciale punt. Jarenlang lag de focus van cloud security op verkeerd geconfigureerde buckets, hardcoded credentials of pipeline-fouten. Dit incident benadrukt een andere realiteit: het beveiligingsperimeter ligt niet alleen meer in de infrastructuur of de code, maar ook in de keten van applicaties die verbonden zijn via OAuth, federatieve identiteiten en toegangsrechten aan tools die de organisatie binnenkomen met veel minder frictie dan traditionele agents.
Vercel reageerde door indicators of compromise (IOCs) te publiceren voor Google Workspace-beheerders, aanbeval om de betrokken OAuth-app te herzien, secrets te roteren waar nodig en de functie voor gevoelige variabelen te gebruiken, zodat ze versleuteld blijven in rust. Daarnaast heeft het platform een update gekregen voor beter inzicht in omgevingsvariabelen en hun classificatie. De organisatie benadrukt dat Next.js, Turbopack en haar open source-projecten niet zijn getroffen.
Wat het incident bevestigt: SaaS, OAuth en geheime gegevens blijven de zwakke punten
De onderliggende les is ongemakkelijk: veel organisaties behandelen OAuth nog steeds als een eenvoudige integratievoorziening in plaats van een directe uitbreiding van hun aanvalsvector. Wanneer een derde-partij app brede scopes krijgt op Google Workspace, Salesforce, GitHub of andere kernsystemen, transformeert deze van nuttige utility naar een stukje cruciale infrastructuur. Als die app wordt gekaapt, kan de impact snel doorwerken naar andere, ogenschijnlijk goed afgedekte, omgevingen.
In het geval van Vercel komt daar nog een klassiek patroon bij van moderne ontwikkelomgevingen: het onderschatten van de “niet-gevoelige” informatie. In een cloudomgeving kan een variabele die niet als kritiek wordt gemarkeerd, toch namen van services, interne routes, endpoints, account-ID’s of andere details bevatten die kunnen worden gebruikt voor vervolgstappen. Het herinnert ons eraan dat de classificatie van geheimen niet alleen mag afhangen van de schijn van een API-sleutel; de context is essentieel.
Tabel: andere recente en relevante incidenten
| Incident | Datum | Hoofdvecter | Geverifieerde impact | Relatie met Vercel |
|---|---|---|---|---|
| Vercel / Context.ai | April 2026 | Compromissie van een Google Workspace OAuth-app door een medewerker | Ongeautoriseerde toegang tot interne systemen en niet-gevoelige variabelen | Toont hoe een externe SaaS-app toegang kan geven tot interne cloud-omgevingen |
| Salesloft Drift / Salesforce | Augustus 2025 | Diefstal van OAuth-tokens gekoppeld aan de integratie tussen Drift en Salesforce | Groot datadiefstal; Salesforce schakelde integraties tussen Salesforce en Salesloft uit | Zelfde vertrouwenstrategie: derden OAuth-integraties als toegangspunten |
| tj-actions/changed-files | Maart 2025 | Supply chain compromissie van een veelgebruikte GitHub Action in CI/CD | Potentieel lekken van secrets in logs van workflows in meer dan 23.000 repositories | Toont dat niet alleen OAuth problemen spelen, maar dat hergebruik van componenten risico’s kan vergroten |
| reviewdog/action-setup | Maart 2025 | GitHub Action met malware-infectie | Secrets gelekt via logs; andere afhankelijkheden ook beïnvloed | Voorbeeld van vertrouwen dat wordt geschonden in tooling voor ontwikkelaars |
De tabel toont een duidelijk patroon: aanvallers hoeven niet altijd direct de frontale infrastructuur te penetreren. Door één intermediair met hoge privileges —een OAuth-app, CRM-integratie, CI/CD-actie— te compromitteren, kunnen ze door vertrouwen dat zij hebben opgebouwd de rest van de omgeving binnendringen.
Het probleem is niet alleen security, maar ook technologische governance
Voor platform-teams, SRE’s, DevOps en security biedt Vercel een heldere les: geheime gegevens, scopes en SaaS-afhankelijkheden moeten worden beheerd met dezelfde strengheid als een publieke API of netwerksegmentatie. Het gaat niet alleen om encryptie van wat “voor de hand ligt” of jaarlijkse permission reviews. Een actueel overzicht van verbonden apps, voortdurende scope-reviews, least privilege-beleid en uitgebreide observability zijn noodzakelijk om abnormaal gedrag van identiteiten te detecteren voordat schade ontstaat.
Vercel heeft terecht de situatie uitgelegd, IOC’s gedeeld, concrete acties aanbevolen en erkend dat de aanvaller verder kwam dan zou wenselijk zijn. Maar deze situatie illustreert ook dat het moderne cloud-landschap niet alleen door fouten in code of netwerkfouten wordt aangevallen. De uitdaging ligt vooral in te veel vertrouwen tussen diensten, die te makkelijk, te snel en met te veel permissies worden geïntegreerd. Dit probleem gaat niet alleen over Vercel, maar door het hele moderne ontwikkelstack.
Veelgestelde vragen
Wat heeft Vercel precies bevestigd?
Dat er ongeautoriseerde toegang was tot enkele interne systemen, dat de impact beperkt bleef tot een subset klanten en dat het incident voortkwam uit het compromitteren van Context.ai, een externe tool door een medewerker.
Zijn Next.js of Turbopack getroffen?
Nee, volgens Vercel. Het bedrijf benadrukt dat haar open source-projecten, waaronder Next.js en Turbopack, niet zijn aangetast.
Waarom maakt deze situatie zoveel los in de ontwikkelaarsgemeenschap?
Omdat het drie actuele risico’s combineert: derden OAuth-apps, bedrijfsidentiteiten met te veel permissies, en omgevingsvariabelen die kunnen worden misbruikt voor laterale bewegingen in de cloud.
Waar moeten technische teams nu op letten?
Op de OAuth-verbindingen met Google Workspace en andere kritieke SaaS, op de scopes die worden verleend, op het overzicht van variabelen in de omgeving en op geheimen of operationele metadata die mogelijk nog buiten de encryptie en classificatie vallen.
bron: Vercel