Ce week-end, Vercel a annoncé avoir été victime d’un accès non autorisé à ses systèmes internes, avec à la clé la récupération de données et de renseignements sensibles de clients. Des pirates affirment vendre ces identifiants en ligne.

Selon Vercel, la faille aurait été déclenchée via un autre éditeur, Context AI. Un employé aurait installé une application provenant de Context AI puis l’aurait connectée à son compte d’entreprise (hébergé sur Google). Les attaquants auraient ensuite utilisé cette connexion OAuth pour prendre le contrôle du compte et accéder à certains éléments internes, dont des informations non chiffrées.

Vercel précise que ses projets Next.js et Turbopack n’ont pas été touchés. La société affirme avoir prévenu les clients dont des données d’applications ou des clés ont pu être compromises.

Son PDG, Guillermo Rauch, recommande de renouveler les clés et identifiants des déploiements marqués comme “non sensibles”.

L’identité des responsables reste floue. Le groupe ShinyHunters, dont l’annonce sur un forum indique être à l’origine de la vente, nie être impliqué dans cet incident. L’affaire s’inscrit toutefois dans une tendance de plus en plus fréquente : les attaques dites “supply chain” visant des outils largement utilisés.

De son côté, Context AI a reconnu un incident en mars lié à son application (via un service tiers). L’entreprise estime désormais que l’impact pourrait être plus large, en particulier à travers des jetons OAuth compromis pour certains utilisateurs.

Vercel confirme enquêter et dit avoir demandé des explications à Context AI, sans donner davantage de détails sur l’ampleur exacte.