KreAsik – Vercel, perusahaan platform cloud yang melayani jutaan pengembang, mengumumkan pada 21 April 2026 bahwa mereka menjadi korban serangan siber yang melibatkan sebuah alat AI pihak ketiga. Serangan ini mengakibatkan kebocoran data lingkungan non‑sensitif sejumlah pelanggan terbatas serta muncul ancaman tebusan senilai dua juta dolar Amerika.
Menurut pernyataan resmi Vercel, penyerang berhasil menyusup ke sistem internal melalui Context.ai, sebuah layanan AI yang sebelumnya menyediakan “AI Office Suite”. Penyerang memanfaatkan token OAuth yang telah terkompromi pada akun Google Workspace seorang karyawan Vercel. Dengan token tersebut, mereka memperoleh akses ke akun Google Workspace dan selanjutnya menelusuri jaringan internal Vercel, mengakses variabel lingkungan yang tidak ditandai sebagai “sensitif”.
CEO Vercel, Guillermo Rauch, menjelaskan rangkaian kejadian dalam sebuah unggahan di platform X. Ia menyebut bahwa serangan tersebut sangat terorganisir, menembus beberapa lapisan keamanan akibat kebijakan penandaan variabel yang kurang ketat. “Kami memiliki kemampuan untuk menandai variabel sebagai non‑sensitif, namun penyerang berhasil melanjutkan eksplorasi mereka melalui enumerasi yang kami lakukan,” ujar Rauch.
Baca Juga:
Berikut ini rangkaian langkah yang diidentifikasi oleh tim keamanan Vercel:
- Penyerang memperoleh token OAuth melalui pelanggaran di Context.ai.
- Token tersebut digunakan untuk mengakses akun Google Workspace seorang karyawan Vercel.
- Dengan kredensial tersebut, penyerang masuk ke konsol internal Vercel dan menelusuri variabel lingkungan proyek.
- Data yang diakses meliputi kunci akses, konfigurasi deployment, dan sebagian kode sumber yang tidak dianggap sensitif.
- Penyerang mengunggah dataset berisi sekitar 580 catatan karyawan serta tangkapan layar dasbor internal ke forum peretasan.
Setelah kebocoran terdeteksi, Vercel segera melibatkan pakar keamanan eksternal, termasuk perusahaan CrowdStrike, dan melaporkan insiden kepada penegak hukum. Layanan inti platform tetap beroperasi, dan perusahaan mengirimkan rekomendasi kepada pelanggan yang terdampak untuk memutar ulang kredensial serta meninjau kembali konfigurasi variabel lingkungan mereka.
Di sisi lain, seorang aktor ancaman memposting tawaran penjualan data Vercel di sebuah forum underground, mengklaim bahwa data yang dijual meliputi kunci akses, kode sumber, dan konten basis data internal. Klaim tersebut menyebutkan keterlibatan grup ShinyHunters, yang kemudian membantah keterlibatan mereka ketika dihubungi oleh outlet keamanan siber BleepingComputer. Keaslian data yang bocor belum dapat diverifikasi secara independen.
Context.ai sendiri mengakui bahwa pelanggaran awal terjadi pada layanan AI Office Suite yang kini telah dinonaktifkan. Mereka menyatakan bahwa satu token OAuth yang terkompromi telah digunakan untuk mengakses sistem Vercel, dan sejak itu mereka menutup lingkungan yang terkena dampak serta bekerja sama dengan CrowdStrike untuk menilai dampak penuh.
Walaupun Vercel menegaskan bahwa tidak ada data sensitif yang diakses, serta tidak ada gangguan pada proyek open‑source mereka seperti Next.js, insiden ini menyoroti risiko serangan rantai pasokan. Ketergantungan pada layanan pihak ketiga dapat menjadi pintu masuk bagi penyerang untuk menembus jaringan organisasi yang lebih luas.
Sejauh ini, Vercel belum mengungkapkan jumlah pasti pengguna yang terdampak, dan penyelidikan masih berlanjut untuk menentukan apakah ada data tambahan yang diekstraksi. Perusahaan menegaskan komitmen untuk memperkuat mekanisme keamanan, termasuk peninjauan ulang kebijakan penandaan variabel sensitif dan peningkatan monitoring pada integrasi pihak ketiga.
