A Vercel, amplamente utilizada como infraestrutura de front-end para aplicações web e projetos do ecossistema Web3, confirmou em 19 de abril de 2026 uma invasão em seus sistemas internos. O incidente começou após o comprometimento da conta Google Workspace de um funcionário, o que permitiu acesso indevido a ambientes corporativos sensíveis.

Após o ataque, o invasor exigiu um resgate de US$ 2 milhões e divulgou supostos dados confidenciais em um fórum de hackers. Entre os materiais expostos estariam chaves de acesso, códigos-fonte, tokens de API e um arquivo com cerca de 580 registros de funcionários. Ainda assim, a empresa afirmou que as variáveis de ambiente dos clientes permanecem criptografadas em repouso.

Segundo a Vercel, apenas um grupo limitado de usuários precisou atualizar credenciais por precaução. Nesse sentido, a companhia tenta conter possíveis impactos enquanto investiga a extensão do incidente.

Falha em OAuth abriu caminho para o ataque

O ataque não começou diretamente nos sistemas da Vercel. Em vez disso, teve origem em uma falha envolvendo uma aplicação OAuth do Google Workspace integrada à ferramenta Context.ai, um serviço de produtividade com inteligência artificial utilizado por ao menos um colaborador.

Esse cenário permitiu o sequestro da sessão ativa do funcionário. Assim, o invasor avançou dentro da infraestrutura corporativa sem precisar violar diretamente os sistemas de autenticação. Posteriormente, acessou variáveis de ambiente não criptografadas por meio de enumeração.

Esse tipo de incidente reforça um risco crescente. Afinal, integrações entre ferramentas de desenvolvimento, soluções de IA e sistemas conectados via OAuth ampliam a superfície de ataque. Além disso, tais vulnerabilidades podem escapar de auditorias tradicionais, especialmente no contexto do mercado de criptomoedas e aplicações Web3.

Declaração do CEO e resposta da empresa

O CEO da Vercel, Guillermo Rauch, comentou o caso publicamente e reconheceu que o invasor conseguiu avançar além das camadas de proteção previstas.

“A Vercel armazena todas as variáveis de ambiente dos clientes totalmente criptografadas em repouso. Temos diversos mecanismos de defesa em profundidade, mas, infelizmente, o invasor conseguiu avançar por meio de enumeração”, afirmou Rauch.

A empresa trabalha com a Mandiant, especializada em análise forense digital e pertencente ao Google. Além disso, colabora com autoridades e parceiros do setor, incluindo a própria Context.ai, com o objetivo de entender o alcance do incidente e evitar novos episódios.

Como medida adicional, a Vercel divulgou um indicador de comprometimento relacionado à aplicação OAuth maliciosa. Dessa forma, outras organizações podem identificar riscos semelhantes em seus ambientes.

Dados expostos e pedido de resgate

Um agente identificado pelo pseudônimo “ShinyHunters” foi apontado como responsável pela divulgação dos dados. Em um fórum de hackers, ele alegou estar vendendo informações internas da Vercel, incluindo tokens de API do GitHub e NPM, além de dados de deploy e registros de funcionários.

Ao mesmo tempo, exigiu um pagamento de US$ 2 milhões. No entanto, pontos relevantes ainda carecem de confirmação independente. Não há verificação pública da autenticidade dos dados nem confirmação de negociação ou pagamento por parte da empresa.

A identidade real do invasor permanece desconhecida. Ainda assim, o caso reforça a atuação recorrente de grupos especializados em vazamento e comercialização de dados corporativos.

Impactos técnicos e reforço de segurança

A Vercel destacou que projetos open-source populares, como Next.js e Turbopack, não foram afetados. Apesar disso, implementou novas medidas de segurança, incluindo melhorias na gestão de variáveis de ambiente e no controle de dados sensíveis.

Além disso, a companhia reforçou práticas internas com o intuito de reduzir riscos futuros. Esse movimento ocorre em um cenário em que cadeias de integração modernas se tornam cada vez mais complexas.

Especialistas apontam que ambientes interconectados por OAuth podem ampliar significativamente o alcance de ataques indiretos. Portanto, mesmo sistemas considerados robustos podem ser comprometidos por pontos externos aparentemente confiáveis.

Em suma, a Vercel afirma que apenas um subconjunto limitado de clientes foi afetado. Ainda assim, recomendou a atualização de credenciais e reforçou que dados críticos seguem protegidos por criptografia, o que tende a reduzir riscos imediatos.