Nieuws
image

Vercel bevestigt inbraak op interne systemen na inloggen via AI-tool

maandag 20 april 2026, 11:20 door Redactie, 6 reacties

Vercel heeft bevestigd dat aanvallers hebben ingebroken op interne systemen, waarbij er gebruik is gemaakt van een AI-tool die door een medewerker werd gebruikt. Vercel is het bedrijf achter het populaire React-framework Next.js. Het biedt ook een platform voor het hosten en uitrollen van webapplicaties. Vorige week verscheen op een forum voor cybercriminelen een bericht waarin werd gesteld dat er bij Vercel was ingebroken en er voor twee miljoen dollar aan data werd aangeboden.

Vercel bevestigt dat er inderdaad ongeautoriseerde toegang tot bepaalde interne systemen heeft plaatsgevonden. Verdere details over de aard van de inbraak zijn niet gegeven. Wel stelt het bedrijf dat de inbraak is begonnen via een AI-tool genaamd Context.ai die door een medewerker werd gebruikt. Via de tool konden de aanvallers het Google Workspace-account van de medewerker overnemen, waarmee er toegang tot bepaalde Vercel-omgevingen en environment variables werd verkregen die niet als "sensitive" waren aangemerkt.

Environment variables die als "sensitive" zijn aangemerkt worden op een manier opgeslagen waardoor ze niet zijn te lezen, aldus Vercel. Het bedrijf stelt dat het op dit moment geen aanwijzingen heeft dat deze waardes zijn ingezien. Vercel zegt dat het de aanval als het werk van een zeer geraffineerde groep aanvallers beschouwt. Verdere details over de aanval zijn niet gegeven.

Vercel-ceo Guillermo Rauch bevestigt op X het bovenstaande. "We beschouwen de aanval als het werk van een zeer geraffineerde groep aanvallers, waarschijnlijk versneld door AI. Ze opereerden met opmerkelijke snelheid en hadden een diepgaande kennis van Vercel's systemen."

Infostealers meldt dat de aanvallers via een infostealer-malware op het systeem van een Context.ai-medewerker konden inloggen. Via de malware werden vervolgens allerlei inloggegevens gestolen, waaronder voor Google Workspace, Supabase, Datadog en Authkit. De aanvallers hadden zo toegang tot de Vercel-omgevingen van de medewerker. Infostealers stelt dat het de gestolen inloggegevens al een maand geleden in handen kreeg.

Vercel adviseert klanten om hun Vercel-omgevingen op verdachte activiteit te controleren, alsmede de activity log. Tevens wordt aangeraden om alle environment variables te controleren en de variabelen die niet als "sensitive" zijn aangemerkt meteen te roteren. Verder wordt aangeraden om de feature voor "sensitive environment variables" te gebruiken, zodat waardes in de toekomst niet zijn te lezen. Vercel zegt dat het de komende dagen met meer informatie komt.

Reacties (6)
Reageer met quote
20-04-2026, 11:59 door Anoniem
Wat een verassing dat dit gebeurt. Hadden ze daar niet kunnen overzien natuurlijk want wie verwacht dat nou ook, AI dat er op gericht is om data te verzamelen... ow wacht.

En dit aanduiden als geraffineerd ... tja dan ben je het spoort echt helemaal bijster... Voor iemand die een heel klein beetje kan nadenken is dit een inkopper en kun je alvast de borst natmaken. Bedrijven met dit soort opvattingen en excuses horen niet meer thuis in deze maatschappij.

Dus voor de zoveelste maal gewoon rustig doorslapen. Lekker mee blijven doen met de Buzz want je kan natuurlijk niet achterblijven. En vergeet daarbij vooral niet om de zwarte piet te spelen naar alles en iedereen behalve jezelf.
Reageer met quote
20-04-2026, 13:07 door Drs Security en Privacy
"zeer gerafineerd" = "ik snap er geen zak van dus is alles wat er gebeurd te moeilijk voor mij"
En die kennis hebben ze gewoon opgedaan via het account van de medewerker.
Klassieke aanval, via een AI tool waar waarschijnlijk ook heel veel nuttige informatie in te vinden was.

En de klanten moeten maar weer voor security operations center spelen *zucht*.
Reageer met quote
20-04-2026, 13:13 door meidoorn - Bijgewerkt: 20-04-2026, 13:13
Nou, het kan ook zijn dat een voormalige werknemer in de ICT wist hoe die moest binnenkomen.
Dus als ik Vercel was, zou ik de recente ontslagen medewerkers maar eens natrekken.
Reageer met quote
20-04-2026, 15:38 door Anoniem
Door meidoorn: Nou, het kan ook zijn dat een voormalige werknemer in de ICT wist hoe die moest binnenkomen.
Dus als ik Vercel was, zou ik de recente ontslagen medewerkers maar eens natrekken.
Als ik Vercel was dan zou ik de toegang tot de systemen direct ontzegt hebben op het moment dat een medewerker ontslagen wordt!
Reageer met quote
Gisteren, 11:08 door AX0 - Bijgewerkt: Gisteren, 11:12
We blijven het zeggen ....

Het (aandachts) niveau van de automatiseringsprofessionals, hun kennis van de
Essenties
van hun vakgebied, de digitale automatisering, wordt steeds bedroevender. Niet voor niets bestaat er de gewone basale keten (kennis) die professionals moet leren dat, voor je uberhaupt iets implementeert, je een aantal
verplichte
stappen moet doorlopen.

Aan dit voorbeeld is weer eens de toename te zien van die hiaten in de meest basale IT processen, die eenvoudig zijn aan te wijzen. Uiteraard komen posts als deze weer als het te laat is. Er bestaat een uitspraak,
"If you pay peanuts, you'll get monkeys"
Dat klinkt misschien denigrerend maar als je mag kiezen tussen die goedkope 'monkeys' met soms een fluwelen goudomrande cv, of voor die echte professional, die maar niet te vinden zou blijken volgens menig recruiter/HRprofessional, dan weet de lezer(es) waar het werkelijk aan schort.

Denken dat je met AI tools, gebrekkige keten en proces kennis kwaliteit kan leveren en dan door gebrek aan essentiele kennis van ketens en processen weer eens leest dat het weer te laat is. Helaas Vercel de zoveelste in de rij.

Jammer mijn beste Vercel.... Het is weer wachten op de volgende hack-publicatie.
Reageer met quote
Gisteren, 12:16 door Anoniem
Dit is een aanvalsvector die je wel vaker ziet, ook in EntraID is de toegang die je als "gewone" gebruiker kunt geven tot allerlei data waar je account bij kan soms schrikbarende groot, een van de zaken die dat alleem maar erger maakt is dat de default bij OATH/enterprise apps bij de grote cloudboeren enorm permissive is (idem voor het delen van data via office omgevingen of het uitnodigingen van gast accounts) en dat er vaak ook nauwelijks zicht op is (geen vastlegging of auditing) bij de eindgebruikers.

Ik verwacht dat we dit alleen maar vaker gaan zien door AI tools (waarvan context er een is).
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components