Vercel 2026年4月安全事件深度分析

事件概述

云开发平台Vercel在威胁行为者声称已入侵其系统并试图出售被盗数据后，披露了一起安全事件。

Vercel是一家云平台，提供面向JavaScript框架的托管和部署基础设施，以开发Next.js而闻名，并提供无服务器函数、边缘计算和CI/CD管道等服务。

攻击路径分析

1. 初始入侵：第三方AI工具

根据Vercel CEO Guillermo Rauch在X上的分享，初始访问发生在Vercel一名员工的Google Workspace账户被入侵，入侵源头是AI平台Context.ai的违规。

2. 权限升级

攻击者随后从被入侵的账户升级访问权限到Vercel环境，在那里他们能够访问未标记为敏感的环境变量，因此在静态时未加密。

3. 深入渗透

虽然这些变量本应只包含非敏感信息，但攻击者通过枚举这些变量获得了进一步访问权限。

"Vercel将所有客户环境变量在静态时完全加密。我们有众多纵深防御机制来保护核心系统和客户数据，"Rauch说。"我们确实有能力将环境变量标记为'非敏感'。不幸的是，攻击者通过他们的枚举获得了进一步访问。"

技术细节

受影响的OAuth应用

Vercel正在通知Google Workspace管理员和Google账户所有者检查以下应用程序：

OAuth App: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com

攻击者声称出售的数据

威胁行为者（声称是"ShinyHunters"）在黑客论坛上发帖，声称已入侵Vercel并出售对公司数据的访问权限：

• 访问密钥
• 源代码
• 数据库数据
• 内部部署访问权限
• API密钥（包括一些NPM令牌和GitHub令牌）

攻击者还分享了一个包含Vercel员工信息的文本文件，包含580条数据记录，包括姓名、Vercel电子邮件地址、账户状态和活动时间戳。

勒索企图

在Telegram上共享的消息中，攻击者还声称正在与Vercel联系，并讨论了200万美元的勒索要求。

Vercel的回应

• 已通知受影响的客户
• 已通知执法部门
• 已聘请事件响应专家帮助调查和修复
• 已推出仪表板更新，包括环境变量概览页面和改进的敏感环境变量管理界面
• 确认Next.js、Turbopack和其他开源项目仍然安全

安全建议

1. 立即审查环境变量——检查是否有敏感信息暴露
2. 启用敏感变量功能——确保它们在静态时加密
3. 轮换所有密钥——包括API密钥、数据库凭证等
4. 检查OAuth应用——移除未知或可疑的第三方应用访问

教训

"你以为自己很安全，但供应链的任何一个环节都可能被突破。"

这起事件揭示了几个关键问题：

• 第三方风险：即使是最安全的公司，也可能因为供应商的漏洞而被入侵
• 默认不敏感：将环境变量标记为"非敏感"的便捷选项反而成为攻击者的突破口
• OAuth信任链：OAuth应用的广泛权限使其成为有价值的攻击目标

← 返回首页