Vercel Ungkap Insiden Keamanan, Sistem Internal Diakses Tanpa Izin

Vercel mengonfirmasi adanya insiden keamanan yang melibatkan akses tidak sah ke sejumlah sistem internal perusahaan. Dalam buletin keamanan yang diperbarui pada 20 April 2026, perusahaan menyatakan masih melakukan investigasi dan telah menggandeng pakar respons insiden untuk membantu proses penyelidikan serta pemulihan.
Menurut Vercel, insiden ini awalnya berdampak pada sebagian kecil pelanggan yang kredensialnya terindikasi telah dikompromikan. Perusahaan menyebut telah menghubungi pelanggan yang terdampak dan merekomendasikan rotasi kredensial secara segera.
Vercel juga menegaskan bahwa pelanggan yang tidak menerima pemberitahuan langsung saat ini belum memiliki indikasi bahwa kredensial Vercel maupun data pribadi mereka ikut terdampak. Meski demikian, investigasi masih berlangsung untuk memastikan apakah ada data yang berhasil dieksfiltrasi oleh pelaku.
Berdasarkan temuan awal, insiden tersebut bermula dari kompromi terhadap Context.ai, sebuah alat AI pihak ketiga yang digunakan oleh salah satu karyawan Vercel. Akses tersebut kemudian dimanfaatkan pelaku untuk mengambil alih akun Google Workspace milik karyawan tersebut. Dari sana, penyerang disebut dapat mengakses sebagian lingkungan Vercel serta environment variables yang tidak ditandai sebagai “sensitive”.
Vercel menyatakan environment variables yang telah ditandai sebagai sensitive disimpan dengan mekanisme yang mencegah nilainya untuk dibaca. Hingga pembaruan terakhir, perusahaan belum menemukan bukti bahwa nilai sensitive environment variables tersebut berhasil diakses.
Perusahaan menilai pelaku sebagai aktor yang sangat canggih, merujuk pada kecepatan operasi dan pemahaman mendalam terhadap sistem Vercel. Untuk menangani insiden ini, Vercel bekerja sama dengan Mandiant, sejumlah perusahaan keamanan siber lain, mitra industri, serta aparat penegak hukum. Vercel juga berkoordinasi langsung dengan Context.ai untuk memahami cakupan kompromi yang menjadi asal mula insiden.
Sebagai langkah mitigasi, Vercel meminta pelanggan meninjau activity log pada akun dan environment mereka, memeriksa serta merotasi environment variables, terutama jika berisi API key, token, kredensial database, atau signing key yang belum ditandai sensitive. Pelanggan juga disarankan menggunakan fitur sensitive environment variables ke depan, memeriksa deployment terbaru yang mencurigakan, memastikan Deployment Protection minimal berada pada level Standard, serta merotasi Deployment Protection tokens apabila digunakan.
Vercel turut membagikan indikator kompromi berupa OAuth App ID yang terkait dengan insiden ini agar administrator Google Workspace dan pemilik akun Google dapat melakukan pemeriksaan di lingkungan masing-masing.
Rekomendasi keamanan:
Pengguna Vercel sebaiknya segera merotasi seluruh secret yang pernah disimpan sebagai environment variable biasa, mengaktifkan sensitive environment variables untuk kredensial penting, memeriksa activity log dan deployment terbaru, serta melakukan audit akses OAuth pihak ketiga pada Google Workspace. Organisasi juga perlu membatasi penggunaan aplikasi AI pihak ketiga yang memiliki akses ke akun kerja, terutama jika aplikasi tersebut meminta izin OAuth yang luas.
Sumber: https://vercel.com/kb/bulletin/vercel-april-2026-security-incident
