Vercel a confirmé un incident de sécurité après qu'un acteur malveillant ait assuré dans un forum qu'il avait accès à des systèmes internes et offrait les données supprimées à la vente. La société, connue pour sa plateforme de déploiement et d'hébergement JavaScript et son rôle dans l'écosystème Next.js, a publié un avis à son centre d'aide indiquant qu'elle a été détectée. Accès non autorisé à certains systèmes internes et enquête auprès des équipes d'intervention en cas d'incident et avise les autorités. Vous pouvez lire la déclaration officielle de Vercel ici: https: / / vercel.com / kb / bulletin / vercel-april-2026-incident de sécurité.
Bien que Vercel affirme que ses services n'ont pas été interrompus et qu'un sous-ensemble limité de clients aurait été affecté, la situation mérite l'attention car la plate-forme gère les clés, les déploiements et les fonctions sans serveur qui font partie du workflow normal de milliers de développeurs et d'entreprises. Un accès inadéquat aux comptes internes ou aux jetons peut permettre le mouvement latéral, l'extraction de code source, l'exposition aux données de base ou la publication de dispositifs malveillants dans les environnements de production.
L'attaquant présumé, qui s'attribue à des liens avec le groupe connu dans la communauté sous le nom de "ShinyHunters", a publié dans un forum des publicités offrant aux acheteurs l'accès aux clés, aux fragments de code et aux données des bases de données Vercel prétendument volées. Parmi les échantillons partagés figuraient des jetons liés au NPM et au GitHub, des comptes d'employés et des prises qui, selon l'agresseur, provenaient de panneaux internes. Vous pouvez voir la couverture et le suivi de l'actualité dans les médias spécialisés tels que Calculateur qui a recueilli les réclamations et les preuves publiées par l'agresseur.
Il est important de souligner que, dans de tels cas, l'authenticité des documents publiés dans les forums n'est pas toujours vérifiée immédiatement. Cybersécurité signifie et l'entreprise elle-même essaie de valider si les fichiers, les captures ou les listes d'utilisateurs correspondent réellement à leurs systèmes avant de confirmer l'étendue réelle des dommages. Dans ce cas particulier, certains rapports indiquent qu'un échantillon inclus dans la fuite comprenait 580 dossiers avec noms et postes d'employés, en plus de ce qui semblait être un comité d'entreprise Vercel; cependant, ces éléments de preuve n'ont pas encore été publiquement confirmés par des tiers indépendants.
Selon les déclarations de l'agresseur partagées dans les canaux de messagerie et dans le forum, il y aurait eu une négociation et une demande de rançon d'environ 2 millions de dollars. Pour sa part, Vercel a noté qu'elle enquêtait et travaillait avec les clients touchés et a recommandé des mesures concrètes à ses utilisateurs pour réduire les risques. Ces recommandations comprennent l'examen des variables d'environnement sensibles, l'utilisation de la fonctionnalité de Vercel pour marquer les variables comme sensibles et la rotation des secrets au besoin. La documentation de Vercel sur les variables d'environnement sensibles est disponible ici: https: / / vercel.com / docs / variables environnementales / variables environnementales sensibles.
Pour les développeurs et les responsables de la sécurité qui utilisent des plates-formes de déploiement comme Vercel, cet épisode rappelle plusieurs principes fondamentaux mais cruciaux : une gestion secrète stricte, une vérification régulière des jetons actifs (y compris le personnel de service comme GitHub et les jetons de paquet comme NPM), l'application du principe des privilèges minimaux et la rotation immédiate des pouvoirs en cas de soupçon d'exposition. GitHub propose des guides sur la façon de créer et de révoquer des jetons d'accès personnels, qui devraient être revus en cas de doute : https: / / docs.github.com / fr / authentification / garde-votre-compte-et-données-sécurité / création-un-personnel-accès.
En plus de la réponse réactive - touches tournantes, retrait des jetons et vérification des accès - il est recommandé d'adopter des contrôles proactifs : segmenter les comptes et les rôles, éviter d'interverrouiller les secrets dans les dépôts ou les variables non protégées, activer l'authentification multifacteurs pour les comptes administratifs et examiner les dossiers de déploiement et d'accès pour les activités anormales. Pour ceux qui gèrent les secrets et les références, les bonnes pratiques d'entités comme OWASP sur la gestion secrète peuvent être un point de départ utile: https: / / owasp.org / www-project-cheat-sheets / cheat-sheets / Secrets _ Management _ Cheat _ Sheet.html.
L'industrie du cloud et les plates-formes de déploiement sont au point de vue parce qu'elles centralisent les processus critiques du cycle de vie du logiciel: de l'intégration continue à l'atterrissage de production. Un incident dans un fournisseur qui gère des jetons et des déploiements peut avoir un impact direct sur les clients qui font confiance à cette infrastructure. Par conséquent, en plus de la réponse de Vercel, les équipes de sécurité des clients devraient traiter cet avis comme un appel à l'action : examiner les autorisations, les intégrations d'audit, et vérifier s'il y a des artefacts ou des secrets commis qui peuvent être utilisés dans des attaques subséquentes.
Vercel a déclaré qu'elle garderait sa page d'état à jour et qu'elle enquêterait de façon approfondie sur l'ampleur de l'incident. Entre-temps, la combinaison de la communication transparente par la plateforme, la validation indépendante par les moyens et l'application immédiate des mesures de confinement par les clients seront essentielles pour limiter l'impact. Si vous dépendez de Vercel dans vos projets, vérifiez l'avis officiel et suivez les instructions d'atténuation; et si vous détectez des activités suspectes liées à votre compte ou à vos déploiements, agissez rapidement pour révoquer les pouvoirs et fortifier l'accès.
Pour suivre l'évolution de l'affaire et accéder aux sources mentionnées: le communiqué Vercel est à son centre d'aide ( Communiqué officiel), les médias et la couverture technique peuvent être consultés à Calculateur, et le contexte sur des acteurs comme ShinyHunters sont documentés dans des sources publiques telles que l'entrée de Wikipedia dans le groupe ( https: / / fr.wikipedia.org / wiki / ShinyHunters).
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...