Vercel offentliggjorde hendelsen søndag 19. april og har engasjert et eksternt incident response-team, skriver Decipher Security. Selskapet sier innbruddet stammer fra «en tredjeparts KI-tjeneste hvis Google Workspace OAuth-app var del av en bredere kompromittering, som potensielt påvirker hundrevis av brukere på tvers av mange organisasjoner». Hvilken KI-tjeneste det dreier seg om, har Vercel ikke navngitt, men de har delt IOC-er.
«Vi har identifisert en sikkerhetshendelse som involverte uautorisert tilgang til visse interne Vercel-systemer. Vi har varslet politiet og vil oppdatere denne siden etter hvert som etterforskningen skrider frem.» — Vercel, offisiell uttalelse
For deg som bygger på Vercel er dette en OAuth-trust-kjede-sak, ikke en plattformsårbarhet. Angrepsmønsteret er samme klasse kompromittering som rammet Salesloft Drift og andre SaaS-integrasjoner det siste året: én KI-integrasjon med for brede Google Workspace-scopes trekker med seg hundrevis av kunder. Hvis du har koblet Vercel-dashbordet mot en tredjeparts KI-assistent eller «AI-teammate», er det der du bør begynne revisjonen.
Pulsen selv kjører på Vercel. Vi har gjennomgått aktivitetsloggene våre og rotert nøkler som et føre-var-tiltak, og anbefaler alle norske utviklere som deployer til Vercel å gjøre det samme i dag.
Hva bør du gjøre?
- Roter Vercel-miljøvariabler for alle produksjonsmiljøer, spesielt API-nøkler til Anthropic, OpenAI, Turso, Supabase og andre datakilder.
- Åpne Audit Log i Vercel-dashbordet og filtrer på de siste 14 dagene. Se etter deploys, team-invitasjoner eller tokengenerering du ikke kjenner igjen.
- Marker sensitive nøkler via «Sensitive Environment Variables»-funksjonen så de lagres kryptert og ikke kan leses ut igjen fra dashbordet.
- Revider tredjeparts OAuth-integrasjoner både i Vercel og i Google Workspace. Fjern KI-apper du ikke bruker aktivt, og sjekk hvilke scopes hver integrasjon faktisk har fått.