Vercel confirmou um incidente de segurança após um ator malicioso garantir em um fórum ter acessado sistemas internos e estar oferecendo os dados sutraídos à venda. A empresa, conhecida pela sua plataforma de implantação e alojamento orientada para frameworks de JavaScript e pelo seu papel no ecossistema do Next.js, publicou um aviso no seu centro de ajuda, indicando que foi detectado acesso não autorizado a certos sistemas internos E está a investigar equipas de resposta a incidentes e a notificar as autoridades. Você pode ler o comunicado oficial de Vercel aqui: https://vercel.com/kb/bulletin/vercel-april-2026-security-incident.
Embora a Vercel afirme que os seus serviços não foram interrompidos e que apenas um subconjunto limitado de clientes teria sido afetado, a situação merece atenção porque a plataforma gere chaves, implantaçãos e funções servernais que fazem parte do fluxo normal de trabalho de milhares de desenvolvedores e empresas. Um acesso indevido a contas internas ou tokens pode permitir o movimento lateral, a extração de código fonte, a exposição de dados de bases ou a publicação de artefatos maliciosos em ambientes de produção.
O suposto atacante, que se atribui a si mesmo laços com o grupo conhecido na comunidade como "ShinyHunters", publicou em um fórum anúncios nos quais oferecia a compradores acesso a chaves, fragmentos de código e dados de bases de dados supostamente roubados de Vercel. Entre as amostras compartilhadas apareciam tokens ligados a NPM e GitHub, contas de empregados e capturas que, segundo o agressor, provinham de painéis internos. Você pode consultar a cobertura e o seguimento da notícia em meios especializados como BleepingComputer, que recolheu as queixas e as evidências publicadas pelo atacante.
É importante salientar que, neste tipo de incidentes, a autenticidade do material publicado em fóruns nem sempre é verificada de forma imediata. Meios de cibersegurança e a própria empresa tentam validar se os arquivos, capturas ou listados de usuários correspondem efetivamente aos seus sistemas antes de confirmar o alcance real do dano. Nesse caso concreto, alguns relatórios apontam que uma amostra incluída na filtragem consistia em 580 registros com nomes e e-mails de empregados, além do que parecia ser um painel empresarial de Vercel; contudo, essas evidências ainda não foram confirmadas publicamente por terceiros independentes.
De acordo com as declarações do atacante compartilhadas em canais de mensagens e no fórum, houve uma negociação e se falou de uma exigência de resgate por cerca de 2 milhões de dólares. Vercel, por sua vez, indicou que está investigando e trabalhando com os clientes afetados, e recomendou medidas concretas aos seus usuários para reduzir riscos. Entre essas recomendações destaca a revisão de variáveis de ambiente sensíveis, o uso da funcionalidade de Vercel para marcar variáveis como sensíveis e a rotação de segredos quando necessário. A documentação de Vercel sobre variáveis de ambiente sensíveis está disponível aqui: https://vercel.com/docs/environment-variáveis/sensitive-environment-variáveis.
Para desenvolvedores e responsáveis pela segurança que utilizam plataformas de implantação como Vercel, este episódio lembra vários princípios básicos, mas cruciais: a gestão rigorosa de segredos, a verificação periódica de tokens ativos (incluindo os pessoais de serviços como o GitHub e os tokens de pacotes como o NPM), a aplicação do princípio de mínimos privilégios e a rotação imediata de credenciais se houver suspeita de exposição. O GitHub oferece guias sobre como criar e revogar tokens de acesso pessoal, algo que convém rever em caso de dúvida: https://docs.github.com/en/authentication/keeping-your-account-and-data-secure/creating-a-personal-access-token.
Além da resposta reativa –rotar chaves, revogar tokens e auditar acessos – é recomendável adotar controles proativos: segmentar contas e papéis, evitar incorporar segredos em repositórios ou em variáveis não protegidas, ativar autenticação multifator para contas administrativas e revisar os registros de implantação e accessos em busca de atividades anormais. Para quem gere segredos e credenciais, as boas práticas de entidades como OWASP sobre gestão de segredos podem ser um ponto de partida útil: https://owasp.org/www-project-cheat-sheets/cheatsheets/Secrets_Management_Cheat_Sheet.html.
A indústria da nuvem e as plataformas de implantação estão no ponto de vista porque centralizam processos críticos do ciclo de vida do software: desde as integrações contínuas até a aterragem em produção. Um incidente em um fornecedor que gerencia tokens e implementações pode ter repercussões diretas nos clientes que confiam nessa infraestrutura. Por isso, além da resposta da própria Vercel, as equipes de segurança dos clientes devem tratar este aviso como uma chamada à ação: revisar permissões, auditar as integrações, e verificar se existem artefatos ou segredos comprometidos que possam ser aproveitados em ataques posteriores.
Vercel declarou que manterá a sua página de estado atualizada e investigará de fundo o alcance do incidente. Entretanto, a combinação de comunicação transparente por parte da plataforma, validação independente por meios de comunicação e aplicação imediata de medidas de contenção por parte dos clientes será fundamental para limitar o impacto. Se você depende de Vercel em seus projetos, consulte o aviso oficial e siga as instruções de mitigação; e se detectar atividade suspeita relacionada com sua conta ou suas implantaçãos, ele atua rapidamente para revogar credenciais e fortificar acessos.
Para acompanhar a evolução do caso e aceder às fontes mencionadas: o comunicado de Vercel está no seu centro de ajuda ( comunicado oficial), a cobertura jornalística e técnica pode ser consultada em BleepingComputer, e história sobre atores como ShinyHunters estão documentados em fontes públicas como a entrada da Wikipédia sobre o grupo ( https://en.wikipedia.org/wiki/ShinyHunters).
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...