TL;DR

Ngày 19/04/2026, Vercel xác nhận hệ thống nội bộ bị xâm nhập. Kẻ tấn công tự xưng ShinyHunters rao bán dữ liệu trên BreachForums với giá 2 triệu USD (ban đầu chốt 500K USD bằng Bitcoin). Đường vào: tài khoản Google Workspace của một nhân viên Vercel bị chiếm qua vụ hack Context.ai — một nền tảng AI enterprise có OAuth scope cấp deployment. Env var được đánh dấu "non-sensitive" (không mã hoá at-rest) bị enumerate. Toàn bộ khách hàng Vercel nên audit và rotate secrets ngay.

What's new

CEO Guillermo Rauch công bố bulletin chính thức tại vercel.com/kb/bulletin/vercel-april-2026-security-incident. Mẫu dữ liệu do kẻ tấn công đăng chứa 580 bản ghi nhân viên Vercel (họ tên, email công ty, trạng thái tài khoản, timestamp hoạt động). Kẻ rao bán còn tuyên bố nắm source code nội bộ, access keys vào database, API keys, NPM tokens và GitHub tokens của Vercel.

Một chi tiết đáng chú ý: nhóm ShinyHunters "thật" đã phủ nhận liên quan với BleepingComputer, cho thấy attacker có thể chỉ mượn thương hiệu để tăng giá chốt deal.

Vì sao điều này quan trọng

Vercel host hạ tầng của hàng chục nghìn startup, từ Next.js frontend cho tới API backend, đặc biệt mảng crypto/Web3. Theo CoinDesk, các team crypto đang đồng loạt xoay vòng RPC keys, signing keys và wallet credentials — nếu một env var đang giữ private key bị flag nhầm là "non-sensitive", hậu quả có thể lên tới mất tiền thật.

Quan trọng hơn về mặt kiến trúc: đây là ca điển hình của AI supply chain attack. Đường vào không phải phishing hay credential stuffing thông thường, mà là một SaaS AI (Context.ai) được grant OAuth scope quá rộng. AI agent có quyền deploy thì compromise AI agent = compromise production.

Technical facts

  • Initial access: Google Workspace của nhân viên Vercel bị chiếm qua breach tại Context.ai.
  • Persistence: OAuth application độc hại với client ID 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com.
  • Lateral movement: Context.ai đã được cấp deployment-level OAuth scope trong hạ tầng Vercel.
  • Exfiltration vector: enumerate environment variables được flag "non-sensitive" — loại này mặc định không mã hoá at-rest.
  • Env vars được mã hoá mặc định: không có bằng chứng bị truy cập.
  • Open-source projects (Next.js, Turbopack) KHÔNG bị ảnh hưởng, Vercel xác nhận.
  • Ransom: 2,000,000 USD. Vercel tuyên bố không trả.

Đặt cạnh các vụ ShinyHunters trước

VụNămĐường vàoRansom
Snowflake customers2024Infostealer credentialsHàng triệu USD
Ticketmaster / AT&T2024Snowflake pivotĐa nạn nhân
Vercel2026Compromised AI SaaS OAuth2M USD

Điểm khác biệt: lần đầu vector gốc là một AI platform tích hợp với OAuth scope rộng. Kỳ vọng mô hình này sẽ lặp lại với các AI coding assistant, copilot, và agent framework khác đang đua nhau xin deployments:write, repo, admin:org trong năm 2026.

Ai cần lo?

CEO Rauch nói tác động "khá giới hạn" nhưng iTnews đưa tin có thể hàng trăm user thuộc nhiều tổ chức. Nhóm cần hành động ngay:

  • Mọi team đang chạy production trên Vercel và có env var được flag "not sensitive".
  • Crypto/Web3 teams giữ signing keys, RPC endpoints, wallet provider API keys trong Vercel.
  • Team có GitHub App / NPM publish token kết nối với Vercel deployments.
  • Bất kỳ tổ chức nào từng tích hợp Context.ai hoặc các AI agent có OAuth scope deployment.

Checklist hành động ngay

  1. Vào Google Workspace Admin → Security → API controls → App access control, tìm OAuth app có client ID 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.comrevoke nếu có.
  2. Vercel Dashboard → Project → Settings → Environment Variables: audit toàn bộ biến đang ở chế độ "not sensitive", chuyển sang "sensitive" hoặc rotate.
  3. Rotate: API keys, auth tokens, database credentials, signing keys, NPM tokens, GitHub tokens gắn với Vercel deployments.
  4. Review Vercel activity logs từ đầu tháng 4/2026 cho bất kỳ deployment lạ.
  5. Re-deploy để runtime nhận secrets mới — value cũ còn trong memory cho tới khi rebuild.

Limitations & pricing

Tuyên bố của attacker về source code và database access chưa được Vercel xác nhận — có thể phóng đại để chốt giá. Vercel không công bố con số khách hàng cuối cùng. Tính năng sensitive env var vẫn an toàn và được khuyến nghị dùng mặc định từ nay.

What's next

Kỳ vọng Vercel sẽ siết lại default scope cho OAuth apps của bên thứ ba, audit toàn bộ integration marketplace, và nhiều khả năng deprecate hoặc force-opt-in cho flag "non-sensitive" env var. Đây cũng là lời cảnh báo cho cả industry về quyền truy cập mà chúng ta đang vô tư cấp cho AI agents: một agent có OAuth scope deploy là một entry point production.

Nguồn: BleepingComputer, The Hacker News, iTnews, CoinDesk, Vercel Security Bulletin.