# Vercel 确认安全漏洞,黑客声称正在出售窃取的数据
来源:https://www.bleepingcomputer.com/news/security/vercel-confirms-breach-as-hackers-claim-to-be-selling-stolen-data/
Vercel
*更新于 2026 年 4 月 19 日:补充了 Vercel 在发布后披露的额外信息。*
云计算开发平台 Vercel 披露了一起安全事件,此前有威胁行为者声称已入侵其系统,并试图出售窃取的数据。
Vercel 是一个为开发者提供托管和部署基础设施的云平台,重点关注 JavaScript 框架。
Wiz(https://www.adaptivesecurity.com/demo/security-awareness-training?utm_source=display_network&utm_medium=paid_display&utm_campaign=2026_04_display_bleepingcomputer&utm_id=701Rd00000fE8REIA0&utm_content=970x250)
该公司以开发广泛使用的 React 框架 Next.js 而闻名,并提供无服务器函数、边缘计算和 CI/CD 管道等服务,使开发者能够构建、预览和部署应用程序。
在今天发布的安全公告中,该公司表示,一个有限的客户子集受到了此次安全漏洞的影响。
"我们发现了一起安全事件,涉及对某些内部 Vercel 系统的未授权访问,"Vercel 警告道(https://vercel.com/kb/bulletin/vercel-april-2026-security-incident)。
"我们正在积极调查,并已聘请事件响应专家协助调查和修复。我们已通知执法部门,并将在调查进展中更新此页面。"
该公司表示,其服务未受影响,并正在与受影响的客户合作。
Vercel 表示正在采取措施保护客户,建议他们审查环境变量(http://vercel.com/all-env-vars),使用其敏感环境变量功能(https://vercel.com/docs/environment-variables/sensitive-environment-variables),并在需要时轮换密钥。
在本报道发布后,Vercel 更新了其公告,指出此次漏洞源自第三方 AI 工具的 Google Workspace OAuth 应用程序被攻破。
Vercel 建议 Google Workspace 管理员和 Google 帐户所有者检查以下应用程序:
``
OAuth App: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com
``
Vercel 首席执行官 Guillermo Rauch 随后在 X 上分享了更多细节(https://x.com/rauchg/status/2045995362499076169),称初始访问发生在一名 Vercel 员工的 Google Workspace 帐户因 AI 平台 Context.ai 的漏洞而被攻破之后。
据 Rauch 称,攻击者随后从被攻破的帐户升级权限进入 Vercel 环境,在那里他们能够访问未被标记为敏感(因此未在存储时加密)的环境变量。
虽然这些变量本应包含非敏感信息,但攻击者在枚举这些变量后获得了进一步访问权限。
"Vercel 对所有客户环境变量进行完全加密存储。我们拥有多层纵深防御机制来保护核心系统和客户数据,"Rauch 表示。
"然而,我们确实有一个功能可以将环境变量标记为'非敏感'。不幸的是,攻击者通过枚举这些变量获得了进一步访问权限。"
公司的调查已确认 Next.js、Turbopack 以及其他开源项目仍然安全。
Vercel 还对其仪表盘进行了更新,包括一个环境变量概览页面,以及一个改进的敏感环境变量管理界面。
强烈建议客户审查环境变量中是否包含敏感信息,并启用敏感变量功能以确保它们在存储时加密。
如果您掌握有关此事件或其他未公开攻击的任何信息,您可以通过 Signal(646-961-3731)或邮箱(
[email protected])与我们保密联系。
## 黑客声称正在出售窃取的 Vercel 数据
这次披露之前,一名自称 "ShinyHunters" 的威胁行为者在黑客论坛上发帖,声称已入侵 Vercel 并正在出售对公司数据的访问权限。
需要注意的是,虽然该黑客声称自己是 ShinyHunters 组织的一部分,但与近期归因于 ShinyHunters 勒索团伙的攻击相关的威胁行为者已向 BleepingComputer 否认他们参与了此事。
在论坛帖子中,该黑客声称正在出售据称从 Vercel 窃取的访问密钥、源代码和数据库数据,以及内部部署和 API 密钥的访问权限。
"这只是来自 Linear 的证明,但我将提供的访问权限包括多个员工账户,这些账户可以访问多个内部部署、API 密钥(包括一些 NPM 令牌和 GitHub 令牌),"论坛帖子中写道。
一张威胁行为者在 Telegram 上分享的论坛帖子截图**一张威胁行为者在 Telegram 上分享的论坛帖子截图**
攻击者还分享了一个包含 Vercel 员工信息的文本文件,其中包含 580 条数据记录,包括姓名、Vercel 电子邮件地址、帐户状态和活动时间戳。他们还分享了一张看似 Vercel 企业内部仪表盘的截图。
BleepingComputer 无法独立确认这些数据或截图是否真实。
在 Telegram 上分享的消息中,该威胁行为者还声称他们正在就此事件与 Vercel 联系,并讨论了据称 200 万美元的赎金要求。
BleepingComputer 已联系 Vercel,就此次漏洞提出更多问题,包括是否有任何敏感数据或凭证被泄露,以及他们是否在与攻击者谈判,收到回复后我们将更新此报道。
*更新于 2026 年 4 月 19 日东部时间下午 6:14:更新文章以补充 Vercel 进一步披露的信息。更新于 2026 年 4 月 19 日东部时间下午 7:21:更新文章以补充 Vercel 首席执行官提供的额外信息。*
tines(https://hubs.li/Q04crVgD0)
## Mythos 发现的 99% 漏洞仍未修补。(https://hubs.li/Q04crVgD0)
AI 将四个零日漏洞串联成一个漏洞利用,同时绕过了渲染器和操作系统沙箱。新一波漏洞利用即将到来。
在自主验证峰会(5月12日和14日)上,了解自主、上下文丰富的验证如何发现可被利用的漏洞,证明控制措施有效,并关闭修复循环。