Ibinunyag ng Vercel na merong security incident kung saan nagkaroon ng hindi awtorisadong pag-access sa internal systems nila, na nakaapekto lang sa ilang selected na customer.
Naglabas si Vercel, isang web hosting platform, ng security bulletin noong April 19 at in-encourage ang lahat ng user na agad i-check ang kanilang environment variables.
Ano ang Nangyari sa Vercel
Ayon sa official statement ng Vercel, nagawa ng attackers na makapasok nang walang pahintulot sa ilang internal systems. Nag-hire na sila ng incident response experts at in-inform din nila ang law enforcement.
Nagbigay pa ng dagdag na detalye si developer Theo Browne, at sinabi niya na pinaka-tinamaan ng attack ay ang Linear at GitHub integrations ng Vercel.
Pero protected pa rin ang mga environment variable na naka-tag as “sensitive” sa platform.
Para safe, kailangan i-rotate o palitan ang mga variable na hindi naka-flag as sensitive.
Baka hindi lang Vercel ang target ng breach na ito, possible rin na ibang companies ang naapektuhan ayon sa reports. Hindi pa sigurado kung gaano karami talaga ang customer na tinamaan habang ongoing pa ang investigation.
Bakit Dapat Mag-ingat ang Mga Crypto Project
Maraming crypto at Web3 na project ang nagdi-deploy ng frontend nila sa Vercel — mula sa mga wallet connector hanggang sa mga decentralized na application interface.
Kung ang projects mo nag-store ng API keys, private RPC endpoints, o secret ng wallet sa environment variable na hindi naka-set as sensitive, may risk na ma-expose ang mga ito.
Hindi directly apektado ang mga blockchain o smart contract ng breach na ‘to dahil independent naman ang operation ng mga ito mula sa frontend hosting.
Pero, kung masukal ang deployment pipeline mo, possible na magamit ito para sa pag-manipulate ng build ng mga apektadong account.
Sa ngayon, wala pang ebidensya ng ganyang klase ng manipulation.
Inirerekomenda ng Vercel na i-review mo lahat ng environment variable mo at i-enable ang sensitive variable feature nila.
Pinapaalala din ng security experts na i-regenerate ang mga GitHub token na naka-link sa Vercel at i-audit ang mga build logs mo para sa possible na cached credentials.
Paalala rin ang nangyaring itong incident na may mga risk talaga kapag centralize ang deployment platform — kahit nasa decentralized na space ka na.
