Взлом Vercel в апреле 2026: что произошло, утечка env-переменных и как защититься

19–20 апреля 2026 года Vercel официально подтвердила инцидент безопасности: несанкционированный доступ к отдельным внутренним системам компании. Затронуто ограниченное подмножество клиентов (limited subset). Основные сервисы (хостинг, деплой, Next.js/Turbopack) работают в штатном режиме — это не глобальный downtime и не компрометация всей платформы.

Как именно произошёл взлом (по официальным данным и расследованию)

• Атака началась не напрямую с Vercel, а через цепочку поставок (supply-chain attack).
• Сотрудник Vercel использовал сторонний ИИ-инструмент Context.ai.
• 17 февраля 2026 аккаунт сотрудника Context.ai был заражён инфостилером.
• Через OAuth-приложение Google Workspace злоумышленники получили доступ к корпоративному Google Workspace аккаунту сотрудника Vercel.
• Дальше — эскалация: доступ к внутренним средам Vercel и environment variables, которые не были отмечены как «sensitive».

Vercel подчёркивает:

• Все environment variables хранятся полностью зашифрованными at rest.
• Доступ был только к non-sensitive переменным.
• Атакующие — высокопрофессиональная группа (предположительно ShinyHunters или их копипаста), которая двигалась очень быстро и с глубоким пониманием инфраструктуры Vercel. CEO Guillermo Rauch подозревает, что им помогал ИИ.

Что утверждают хакеры

На хакерском форуме (BreachForums) аккаунт, называющий себя ShinyHunters, опубликовал объявление о продаже доступа к внутренним данным Vercel за ~$2 млн. Vercel это не подтверждает, но инцидент признала.

Кто пострадал и что именно могло утечь

• Ограниченное число клиентов (Vercel уже напрямую уведомила их).
• В первую очередь — environment variables (API-ключи, секреты, токены).
• Особое беспокойство у Web3/крипто-проектов: многие фронтенды на Vercel хранят ключи для подключения кошельков, DeFi-протоколов и т.д. (Orca и другие уже начали массовую ротацию).
• Личные данные клиентов (имена, SSN и т.п.) не упоминались как скомпрометированные.

Реакция Vercel

• Активировали incident response, привлекли Mandiant (Google), уведомили правоохранители.
• CEO Rauch лично опубликовал подробный пост с разбором.
• Уже выкатили улучшения в дашборде: отдельная страница обзора environment variables + удобный UI для пометки sensitive.
• Рекомендация всем пользователям: немедленно проверить и ротировать секреты, использовать флаг «sensitive» для всех чувствительных переменных, мониторить доступ.

Русскоязычные источники и реакция сообщества

Хабр, Cryptopolitan RU, ForkLog и другие быстро подхватили новость. В русскоязычном сегменте — типичные реакции: «уф, хорошо, что не хостил», «все крипто-проекты сейчас в панике ротируют ключи», «очередной урок про supply-chain и third-party AI-инструменты».

Нюансы и связанные риски (чтобы вы понимали полную картину)

• Это не прямой взлом хостинга Vercel — пострадали именно внутренние инструменты и аккаунты сотрудников.
• Проблема OAuth + third-party AI-сервисы — классический вектор 2025–2026 годов. Многие компании сейчас пересматривают, какие внешние инструменты сотрудники подключают через Google Workspace.
• Edge-кейс: если вы всегда ставили флаг sensitive на все секреты — вероятность утечки минимальна.
• Положительный момент: Vercel оперативно и прозрачно отреагировала, что редкость для таких инцидентов.

Вывод: Даже топовая платформа вроде Vercel может пострадать от одной компрометации сотрудника + AI-инструмента. Это напоминание №1 о том, что безопасность — это не только «мой код», но и вся цепочка поставок. Для indie-разработчиков и крипто-команд сейчас самое время провести аудит: ротация ключей + sensitive-флаги + мониторинг.