Default
Door Remote - 20 Apr 2026
In het kort
Cloudplatform Vercel heeft details bekendgemaakt van een beveiligingsincident waarbij enkele inloggegevens van klanten in gevaar zijn gekomen.
CEO Guillermo Raugh van het bedrijf onthulde dat de aanvallende groep “zeer geavanceerd” was en waarschijnlijk AI-tools gebruikte.
Veel crypto-frontends gebruiken Vercel om hun gebruikersinterface te hosten, waarbij het bedrijf onmiddellijke inloggegevens adviseert.
De CEO van Vercel zei dat een ‘zeer geavanceerde’, potentieel door AI ondersteunde hackgroep achter een recent beveiligingsincident zat waarbij enkele inloggegevens van klanten openbaar werden gemaakt na een inbreuk op interne systemen.
“Wij zijn van mening dat de aanvallende groep zeer geavanceerd is en, naar ik sterk vermoed, aanzienlijk wordt versneld door AI”, tweette CEO Guillermo Rauch, eraan toevoegend dat de aanvallers “met verrassende snelheid en diepgaand begrip van Vercel bewogen.”
Hier is mijn update voor de bredere gemeenschap over het lopende incidentonderzoek. Ik wil u rechtstreeks een overzicht van de situatie geven.
Een medewerker van Vercel raakte gecompromitteerd via de inbreuk op een AI-platformklant genaamd https://t.co/xksNNigVfE die hij gebruikte. De details…
— Guillermo Rauch (@rauchg) 19 april 2026
Het bedrijf, een cloudplatform voor ontwikkelaars, zei zondag dat het ongeoorloofde toegang tot bepaalde interne systemen had geïdentificeerd en actief onderzoek deed. Het incident trof een beperkte groep klanten wier inloggegevens in gevaar waren gebracht, wat het bedrijf ertoe aanzette om onmiddellijke inloggegevensroulatie te adviseren.
De inbreuk kwam voort uit de inbreuk op Context.ai, een AI-tool van derden die door een Vercel-medewerker werd gebruikt en waarmee aanvallers het Google Workspace-account van de medewerker konden overnemen en toegang konden krijgen tot bepaalde Vercel-omgevingen en niet-gevoelige omgevingsvariabelen.
De onthulling benadrukt de groeiende bezorgdheid over de veiligheidsrisico’s die gepaard gaan met integraties van derden en AI-aangedreven tools, nu aanvallers steeds vaker kwetsbaarheden in de toeleveringsketen misbruiken om voet aan de grond te krijgen binnen organisaties.
Vercel en cryptoNatalie Newson, senior blockchain-beveiligingsonderzoeker van CertiK, vertelden Decrypt dat de gebeurtenis met name bij crypto-ontwikkelaars urgentie heeft veroorzaakt. "Omdat veel crypto-frontends Vercel gebruiken om hun gebruikersinterface te hosten, kan een inbreuk aanvallers in staat stellen een portemonnee-afdruiprek te implanteren. Gebruikers die interactie hebben met een vertrouwde pagina verwachten niet dat er iets kwaadaardigs zal gebeuren", zei ze en voegde eraan toe: "Exploits in de crypto-ruimte kunnen tot aanzienlijke financiële verliezen leiden."
Zelfs als slimme contracten veilig blijven, vormen compromissen aan de voorkant nog steeds risico's. “Compromissen aan de voorkant kunnen bijzonder schadelijk zijn voor eindgebruikers”, merkte ze op, wijzend op het CoW Swap-incident in april waarbij een gebruiker $316.000 uit zijn portemonnee zag verdwijnen.
Ze zei dat de stijgende trend van agentische AI ertoe heeft geleid dat veel gebruikers de nieuwste apps en extensies hebben geplaatst om de productiviteit te verbeteren en dat kwaadwillende actoren misbruik maken van deze trend. “Bedrijven moeten extra voorzichtig zijn bij het gebruik van nieuwe AI-apps en extensies en tegelijkertijd hun interne beveiligingsmodellen herzien om ervoor te zorgen dat als er toch een inbreuk plaatsvindt, de impact zo beperkt mogelijk blijft”, zegt ze.
Rauch zei dat de aanval zich ontvouwde via “een reeks manoeuvres”, beginnend met het gecompromitteerde werknemersaccount en escalerend naar bredere toegang tot interne omgevingen. Hoewel Vercel variabelen uit de klantomgeving in rust versleuteld opslaat, staat het bedrijf toe dat sommige variabelen als niet-gevoelig worden gemarkeerd, waartoe de aanvallers toegang hadden.
Het bedrijf is van mening dat het aantal getroffen klanten beperkt is en zegt dat het met prioriteit contact heeft opgenomen met de mogelijk getroffen klanten. Vercel heeft sindsdien aanvullende monitoring- en beschermingsmaatregelen geïmplementeerd, terwijl hij ook zijn toeleveringsketen heeft herzien om de veiligheid van projecten als Next.js en Turbopack te garanderen.
John Woods, CEO van Nillion, vertelde Decrypt dat een ‘beperkte subset’ meestal betekent dat de waargenomen groep getroffen klanten tot nu toe beperkt lijkt, maar dat dit niet noodzakelijkerwijs bredere interne bewegingen of bredere downstream-risico’s uitsluit. “Op moderne cloudplatforms gaat de explosieradius niet alleen over hoeveel klanten in eerste instantie zichtbaar getroffen waren, maar ook over wat de gecompromitteerde systemen achter de schermen zouden kunnen bereiken”, aldus Woods.
Hij raadde bedrijven aan een aantal best practices te volgen om dit soort situaties te voorkomen. “Vergrendel OAuth-subsidies, gebruik zo min mogelijk rechten, dwing strikte controles af rond gevoelige omgevingsvariabelen, scheid de frontend-implementatie van geheime of ondertekeningsbevoegdheden en houd implementaties en logs nauwlettend in de gaten”, zei hij.
“Voor iedereen wiens inloggegevens zijn afgenomen, is de onmiddellijke prioriteit het intrekken van de toegang, het rouleren van inloggegevens en het beoordelen van elk systeem dat deze inloggegevens kunnen bereiken,” voegde hij eraan toe, waarbij hij opmerkte dat “op een hoger niveau de les is om architecturen te vermijden waar één compromis te veel kan bereiken.”
Het is nog niet duidelijk wie er achter de aanval zit. Er zijn screenshots opgedoken van een gebruiker met de naam van de hackgroep ‘ShinyHunters’ die op een forum beweert inbreuk te hebben gemaakt op Vercel en toegang te verkopen tot bedrijfsgegevens, inclusief broncode, API-sleutels en interne systemen.
De acteur, die zich mogelijk ook voordoet als ShinyHunters, beweerde ook een losgeldeis van $ 2 miljoen met het bedrijf te hebben besproken. Vercel reageerde niet onmiddellijk op een verzoek om die beweringen te bevestigen.
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!
Cloudplatform Vercel heeft details bekendgemaakt van een beveiligingsincident waarbij enkele inloggegevens van klanten in gevaar zijn gekomen.
CEO Guillermo Raugh van het bedrijf onthulde dat de aanvallende groep “zeer geavanceerd” was en waarschijnlijk AI-tools gebruikte.
Veel crypto-frontends gebruiken Vercel om hun gebruikersinterface te hosten, waarbij het bedrijf onmiddellijke inloggegevens adviseert.
De CEO van Vercel zei dat een ‘zeer geavanceerde’, potentieel door AI ondersteunde hackgroep achter een recent beveiligingsincident zat waarbij enkele inloggegevens van klanten openbaar werden gemaakt na een inbreuk op interne systemen.
“Wij zijn van mening dat de aanvallende groep zeer geavanceerd is en, naar ik sterk vermoed, aanzienlijk wordt versneld door AI”, tweette CEO Guillermo Rauch, eraan toevoegend dat de aanvallers “met verrassende snelheid en diepgaand begrip van Vercel bewogen.”
Hier is mijn update voor de bredere gemeenschap over het lopende incidentonderzoek. Ik wil u rechtstreeks een overzicht van de situatie geven.
Een medewerker van Vercel raakte gecompromitteerd via de inbreuk op een AI-platformklant genaamd https://t.co/xksNNigVfE die hij gebruikte. De details…
— Guillermo Rauch (@rauchg) 19 april 2026
Het bedrijf, een cloudplatform voor ontwikkelaars, zei zondag dat het ongeoorloofde toegang tot bepaalde interne systemen had geïdentificeerd en actief onderzoek deed. Het incident trof een beperkte groep klanten wier inloggegevens in gevaar waren gebracht, wat het bedrijf ertoe aanzette om onmiddellijke inloggegevensroulatie te adviseren.
De inbreuk kwam voort uit de inbreuk op Context.ai, een AI-tool van derden die door een Vercel-medewerker werd gebruikt en waarmee aanvallers het Google Workspace-account van de medewerker konden overnemen en toegang konden krijgen tot bepaalde Vercel-omgevingen en niet-gevoelige omgevingsvariabelen.
De onthulling benadrukt de groeiende bezorgdheid over de veiligheidsrisico’s die gepaard gaan met integraties van derden en AI-aangedreven tools, nu aanvallers steeds vaker kwetsbaarheden in de toeleveringsketen misbruiken om voet aan de grond te krijgen binnen organisaties.
Vercel en cryptoNatalie Newson, senior blockchain-beveiligingsonderzoeker van CertiK, vertelden Decrypt dat de gebeurtenis met name bij crypto-ontwikkelaars urgentie heeft veroorzaakt. "Omdat veel crypto-frontends Vercel gebruiken om hun gebruikersinterface te hosten, kan een inbreuk aanvallers in staat stellen een portemonnee-afdruiprek te implanteren. Gebruikers die interactie hebben met een vertrouwde pagina verwachten niet dat er iets kwaadaardigs zal gebeuren", zei ze en voegde eraan toe: "Exploits in de crypto-ruimte kunnen tot aanzienlijke financiële verliezen leiden."
Zelfs als slimme contracten veilig blijven, vormen compromissen aan de voorkant nog steeds risico's. “Compromissen aan de voorkant kunnen bijzonder schadelijk zijn voor eindgebruikers”, merkte ze op, wijzend op het CoW Swap-incident in april waarbij een gebruiker $316.000 uit zijn portemonnee zag verdwijnen.
Ze zei dat de stijgende trend van agentische AI ertoe heeft geleid dat veel gebruikers de nieuwste apps en extensies hebben geplaatst om de productiviteit te verbeteren en dat kwaadwillende actoren misbruik maken van deze trend. “Bedrijven moeten extra voorzichtig zijn bij het gebruik van nieuwe AI-apps en extensies en tegelijkertijd hun interne beveiligingsmodellen herzien om ervoor te zorgen dat als er toch een inbreuk plaatsvindt, de impact zo beperkt mogelijk blijft”, zegt ze.
Rauch zei dat de aanval zich ontvouwde via “een reeks manoeuvres”, beginnend met het gecompromitteerde werknemersaccount en escalerend naar bredere toegang tot interne omgevingen. Hoewel Vercel variabelen uit de klantomgeving in rust versleuteld opslaat, staat het bedrijf toe dat sommige variabelen als niet-gevoelig worden gemarkeerd, waartoe de aanvallers toegang hadden.
Het bedrijf is van mening dat het aantal getroffen klanten beperkt is en zegt dat het met prioriteit contact heeft opgenomen met de mogelijk getroffen klanten. Vercel heeft sindsdien aanvullende monitoring- en beschermingsmaatregelen geïmplementeerd, terwijl hij ook zijn toeleveringsketen heeft herzien om de veiligheid van projecten als Next.js en Turbopack te garanderen.
John Woods, CEO van Nillion, vertelde Decrypt dat een ‘beperkte subset’ meestal betekent dat de waargenomen groep getroffen klanten tot nu toe beperkt lijkt, maar dat dit niet noodzakelijkerwijs bredere interne bewegingen of bredere downstream-risico’s uitsluit. “Op moderne cloudplatforms gaat de explosieradius niet alleen over hoeveel klanten in eerste instantie zichtbaar getroffen waren, maar ook over wat de gecompromitteerde systemen achter de schermen zouden kunnen bereiken”, aldus Woods.
Hij raadde bedrijven aan een aantal best practices te volgen om dit soort situaties te voorkomen. “Vergrendel OAuth-subsidies, gebruik zo min mogelijk rechten, dwing strikte controles af rond gevoelige omgevingsvariabelen, scheid de frontend-implementatie van geheime of ondertekeningsbevoegdheden en houd implementaties en logs nauwlettend in de gaten”, zei hij.
“Voor iedereen wiens inloggegevens zijn afgenomen, is de onmiddellijke prioriteit het intrekken van de toegang, het rouleren van inloggegevens en het beoordelen van elk systeem dat deze inloggegevens kunnen bereiken,” voegde hij eraan toe, waarbij hij opmerkte dat “op een hoger niveau de les is om architecturen te vermijden waar één compromis te veel kan bereiken.”
Het is nog niet duidelijk wie er achter de aanval zit. Er zijn screenshots opgedoken van een gebruiker met de naam van de hackgroep ‘ShinyHunters’ die op een forum beweert inbreuk te hebben gemaakt op Vercel en toegang te verkopen tot bedrijfsgegevens, inclusief broncode, API-sleutels en interne systemen.
De acteur, die zich mogelijk ook voordoet als ShinyHunters, beweerde ook een losgeldeis van $ 2 miljoen met het bedrijf te hebben besproken. Vercel reageerde niet onmiddellijk op een verzoek om die beweringen te bevestigen.
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!