Faille de sécurité chez Vercel

Après les react server components sur Next, c'est à Vercel de prendre une faille de sécurité.

Le timing est vraiment mauvais, attention à vos stacks si vous hébergez chez eux. J'ai une partie de ma stack là bas...

Vercel a déclaré un incident de sécurité impliquant un accès non autorisé à certains systèmes internes. L'attaque n'a pas démarré chez Vercel directement : elle provient de la compromission de Context.ai, un outil IA tiers utilisé par un employé.

L'attaquant a pivoté depuis ce tiers vers le compte Google Workspace de l'employé, puis vers l'environnement Vercel.

Vercel a engagé Mandiant (la filiale forensique de Google Cloud) et notifié les forces de l'ordre américaines.

Qui est impacté et quoi exactement ?

Seul un sous-ensemble limité de clients est concerné, et Vercel les a contactés directement. Si tu n'as rien reçu, tes credentials ne sont a priori pas touchés. Point clé sur la portée technique :

• ✅ Les variables marquées sensitive sont chiffrées côté Vercel : pas d'évidence qu'elles aient été lues
• ⚠️ Les variables non marquées sensitive (API keys, tokens, DB creds oubliés là) doivent être considérées comme potentiellement exposées
• 🔎 L'exfiltration complète est encore en cours d'évaluation

Les actions recommandées côté admin à faire dès maintenant, sans attendre d'être contacté :

• Passer en revue les activity logs du dashboard ou via CLI
• Rotation de toutes les variables d'env contenant des secrets non marqués sensitive
• Activer la feature sensitive environment variables pour la suite
• Vérifier les déploiements récents suspects et supprimer le moindre doute
• Passer la Deployment Protection au niveau Standard minimum, et rotate les tokens de bypass
• IOC Google Workspace admins : chercher l'app OAuth 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com

Source : Vercel Knowledge Base — Security Bulletin (MAJ 19 avril 2026)