Na tarde de hoje, 19 de abril de 2026, a Vercel publicou um boletim oficial de segurança confirmando um incidente que envolveu acesso não autorizado a determinados sistemas internos da empresa. A investigação está em andamento e a empresa já acionou especialistas externos em resposta a incidentes, além de notificar as autoridades responsáveis.
O que a Vercel confirmou
De acordo com o boletim publicado pela equipe de segurança da Vercel, o incidente envolveu acesso não autorizado a certos sistemas internos da plataforma. A empresa identificou um subconjunto limitado de clientes impactados e está em contato direto com eles.
A Vercel esclareceu que os serviços da plataforma permanecem operacionais e que a investigação continua em progresso. A empresa se comprometeu a atualizar a página do boletim conforme novas informações forem apuradas.
O ponto mais concreto revelado até agora é a origem do incidente: a Vercel identificou que o acesso inicial partiu de uma ferramenta de IA de terceiros de pequeno porte cujo aplicativo OAuth do Google Workspace foi comprometido em um ataque mais amplo. Essa ferramenta é usada por centenas de pessoas em diversas organizações, o que significa que o impacto potencial desse vetor vai além da Vercel.
O vetor de ataque: OAuth de terceiros
A forma como o acesso foi obtido é tecnicamente relevante e serve como alerta direto para qualquer empresa que usa integrações OAuth com ferramentas externas.
O OAuth é o protocolo padrão pelo qual aplicativos de terceiros solicitam acesso a serviços como o Google Workspace, GitHub, e outros. Quando um aplicativo OAuth é comprometido, o atacante ganha acesso a tudo o que aquele aplicativo tinha permissão de acessar, em nome dos usuários que o autorizaram.
Neste caso, uma ferramenta de IA usada por funcionários da Vercel tinha um aplicativo OAuth conectado ao Google Workspace da empresa. Quando esse aplicativo foi comprometido por um atacante externo, ele passou a funcionar como porta de entrada para o ambiente interno da Vercel, sem que nenhum dado de login direto precisasse ser roubado.
A Vercel publicou o identificador do aplicativo comprometido como indicador de comprometimento (IOC) para apoiar a comunidade:
110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com
Administradores do Google Workspace e proprietários de contas Google devem verificar imediatamente se esse aplicativo tem acesso autorizado em seus ambientes.
O que fazer se você usa a Vercel
A Vercel publicou um conjunto de recomendações para todos os seus clientes, mesmo aqueles que não foram identificados como diretamente afetados:
Revise as variáveis de ambiente. Acesse o painel da sua conta e verifique todas as variáveis de ambiente configuradas nos seus projetos. Qualquer segredo que não esteja marcado como "sensitive" deve ser tratado como possivelmente exposto e rotacionado imediatamente. Isso inclui chaves de API, tokens de banco de dados, credenciais de serviços externos e qualquer outro valor sensível que esteja armazenado nas configurações dos seus projetos.
Use o recurso de variáveis sensíveis. A Vercel oferece uma funcionalidade específica de sensitive environment variables que protege determinados valores com uma camada adicional de controle de acesso, tornando-os ilegíveis mesmo para membros da equipe com acesso ao projeto. Se você ainda não usa esse recurso para seus segredos mais críticos, é o momento certo para ativá-lo.
Revise o log de atividades da sua conta. Acesse o histórico de atividades da sua conta e ambientes em busca de qualquer ação suspeita — deploys não reconhecidos, alterações em variáveis de ambiente, ou acessos fora do padrão habitual.
Verifique integrações OAuth ativas. Se sua organização usa o Google Workspace, verifique quais aplicativos OAuth têm acesso autorizado e remova qualquer app que não seja reconhecido ou que não esteja em uso ativo.
Para dúvidas adicionais, a Vercel disponibilizou o canal support@vercel.com.
O contexto maior: ferramentas de IA como vetor de ataque
O que torna este incidente particularmente relevante para equipes de desenvolvimento é o vetor utilizado: não foi uma vulnerabilidade direta na infraestrutura da Vercel, mas sim uma ferramenta de IA de terceiros usada por funcionários da empresa.
Esse padrão está se tornando mais comum. À medida que desenvolvedores e equipes adotam um número crescente de ferramentas de produtividade baseadas em IA, cada uma delas representa um ponto de integração com credenciais corporativas, acesso a repositórios, permissões de leitura de documentos internos e outros recursos sensíveis. Cada integração OAuth ativa é uma superfície de ataque potencial.
A lição direta é simples: revise periodicamente quais aplicativos de terceiros têm acesso OAuth aos sistemas da sua organização, remova os que não estão em uso, e trate com ceticismo solicitações de permissão de escopo amplo feitas por ferramentas novas ou pouco conhecidas.
Situação atual
A investigação da Vercel está em andamento. A empresa ainda não divulgou a natureza exata dos sistemas acessados, o volume de dados envolvidos ou outros detalhes técnicos da extensão do incidente. O boletim de segurança oficial em vercel.com/kb/bulletin/vercel-april-2026-security-incident será atualizado conforme novas informações forem apuradas.
Se você usa a Vercel em projetos de produção, a recomendação é não esperar pela conclusão da investigação para agir. Rotacione seus segredos agora, ative o recurso de variáveis sensíveis e revise suas integrações ativas.