Vercel confirme une violation de sécurité, des pirates vendent les données volées
Original : Vercel April 2026 security incident
Pourquoi c'est important
Incident majeur touchant une plateforme cloud populaire utilisée par de nombreux développeurs
Vercel a confirmé un incident de sécurité affectant un nombre limité de clients après que des pirates ont prétendu avoir violé ses systèmes. L'attaque provient du compromis d'un outil IA tiers via OAuth Google Workspace.
La plateforme cloud Vercel, connue pour Next.js et ses services de déploiement pour développeurs, a divulgué une violation de sécurité dans un bulletin publié aujourd'hui. L'incident implique un accès non autorisé à certains systèmes internes, affectant un sous-ensemble limité de clients. Le PDG Guillermo Rauch a précisé sur X que l'accès initial s'est produit après la compromission du compte Google Workspace d'un employé via une violation chez Context.ai, une plateforme IA. L'attaquant a ensuite escaladé l'accès aux environnements Vercel, accédant aux variables d'environnement non marquées comme sensibles et donc non chiffrées au repos. Vercel conseille aux clients de réviser leurs variables d'environnement et de faire tourner leurs secrets si nécessaire. Les services de l'entreprise ne sont pas impactés.