Vercel bestätigt Sicherheitsvorfall nach Angriff über Drittanbieter-OAuth-App

Das Wichtigste

• Vercel meldet unbefugten Zugriff auf bestimmte interne Systeme und untersucht den Vorfall mit externen Spezialisten.
• Das Unternehmen nennt eine kompromittierte Google-Workspace-OAuth-App als Einfallstor und empfiehlt die Rotation nicht als sensibel markierter Umgebungsvariablen.
• Laut Vercel ist nur ein begrenzter Teil der Kunden betroffen. Die Plattformdienste laufen weiter.

Vercel meldet unbefugten Zugriff auf interne Systeme

Der Vercel Hack ist nach Angaben des Unternehmens auf den Zugriff über eine kompromittierte Drittanbieter-App zurückzuführen. In einem Sicherheitsbulletin vom Sonntag teilte Vercel mit, dass Unbefugte auf bestimmte interne Systeme zugreifen konnten. Das Unternehmen informierte nach eigenen Angaben betroffene Kunden direkt und schaltete externe Incident-Response-Experten ein.

Vercel erklärte zugleich, die Plattform selbst bleibe betriebsfähig. Damit gibt es nach aktuellem Stand keinen Hinweis auf einen flächendeckenden Ausfall von Deployments, Hosting oder Build-Diensten. Der bestätigte Kern des Vorfalls betrifft zunächst interne Systeme und eine begrenzte Kundengruppe.

OAuth-App und Geheimnisse stehen im Mittelpunkt

Als Ursache nennt Vercel eine Google-Workspace-OAuth-App eines kleinen Drittanbieter-KI-Tools, die nach Unternehmensangaben in einem breiteren Angriff kompromittiert wurde. Das Bulletin nennt dafür eine konkrete App-ID als Indikator für eine Überprüfung in Google Workspace. Administratoren sollen prüfen, ob diese App in ihrer Umgebung autorisiert wurde.

Für Kunden mit Projekten auf der Plattform ist vor allem der Umgang mit Umgebungsvariablen wichtig. Vercel empfiehlt, nicht als sensibel markierte Variablen als potenziell offengelegt zu behandeln und die zugehörigen Zugangsdaten umgehend zu rotieren. Für als sensibel markierte Variablen gebe es bislang keine Hinweise auf einen Zugriff, teilte das Unternehmen mit.

Betroffen sind laut Vercel einzelne Kunden und deren Projekte

Die unmittelbaren Folgen treffen vor allem Teams, die Vercel für Web-Deployments, Serverless-Funktionen und Umgebungsvariablen nutzen. Vercel spricht von einem begrenzten Teil der Kunden, ohne eine Zahl zu nennen. Für diese Kunden ist entscheidend, Aktivitätsprotokolle zu prüfen, verdächtige Änderungen an Projekten nachzuvollziehen und Tokens oder andere Geheimnisse auszutauschen, sofern sie nicht als sensibel gespeichert waren.

Berichte über Datenverkauf sind bislang nicht bestätigt

Neben den Angaben von Vercel gibt es Berichte über weitergehende Behauptungen von Angreifern. BleepingComputer schrieb, ein Bedrohungsakteur behaupte in einem Forum, gestohlene Daten und Zugangsdaten verkaufen zu wollen. Vercel selbst bestätigte diese Angaben nicht. Damit bleibt offen, ob und in welchem Umfang Daten über die vom Unternehmen benannten Punkte hinaus abgeflossen sind. Nach Angaben von Vercel wurden zudem Strafverfolgungsbehörden informiert.

Untersuchung und Kundenbenachrichtigung laufen weiter

Als nächste bestätigte Schritte nannte Vercel die laufende forensische Aufarbeitung, die direkte Benachrichtigung betroffener Kunden und die weitere Prüfung interner Systeme. Für Administratoren ergibt sich daraus ein klares Arbeitsprogramm. Sie sollen Aktivitätslogs in Dashboard oder Kommandozeile prüfen, die genannte OAuth-App in Google Workspace suchen und nicht als sensibel markierte Geheimnisse austauschen.

Ein Vorfall an einer zentralen Schnittstelle der Entwicklerplattform

Der Fall betrifft nicht nur den Zugang zu einem einzelnen Nutzerkonto, sondern die Verbindung zwischen Identitätsverwaltung, Drittanbieter-Apps und Entwicklungsinfrastruktur. Gerade bei Plattformen wie Vercel können OAuth-Freigaben, Projektzugriffe und Geheimnisse eng zusammenhängen. Der bestätigte Umfang ist bislang enger als die öffentlich kursierenden Angreiferbehauptungen, doch die operative Reaktion fällt für betroffene Teams sofort an.