Nền tảng hosting/serverless phổ biến
Vercel vừa xác nhận một sự cố bảo mật nghiêm trọng trong tháng 4/2026, liên quan đến việc truy cập trái phép vào một số hệ thống nội bộ. Theo thông báo chính thức, vụ việc đang được điều tra với sự tham gia của các chuyên gia an ninh mạng và cơ quan chức năng, dù dịch vụ hiện vẫn hoạt động bình thường.
Nguồn gốc của sự cố được xác định bắt đầu từ Context.ai, một công cụ AI bên thứ ba mà nhân viên Vercel sử dụng. Hacker đã khai thác lỗ hổng từ ứng dụng này để chiếm quyền OAuth Google Workspace, từ đó kiểm soát tài khoản nội bộ và truy cập vào một phần môi trường của Vercel. Đây được đánh giá là một cuộc tấn công có mức độ tinh vi cao và mang đặc trưng của supply chain attack.
Vercel cho biết chỉ một nhóm nhỏ khách hàng bị ảnh hưởng và đã được thông báo trực tiếp. Tuy nhiên, công ty vẫn đang tiếp tục xác minh xem dữ liệu có bị đánh cắp hay không, và chưa loại trừ khả năng phạm vi ảnh hưởng rộng hơn. Đáng chú ý, một số biến môi trường không được đánh dấu “sensitive” có thể đã bị truy cập, bao gồm API key, token, thông tin database và các khóa ký số. Với các biến được đánh dấu bảo mật, hiện chưa có bằng chứng cho thấy bị lộ.
Trong bối cảnh cộng đồng xuất hiện thông tin hacker rao bán database, source code và access key, nhiều ý kiến cho rằng nên xử lý theo kịch bản xấu nhất, coi toàn bộ thông tin truy cập đã bị lộ để giảm thiểu rủi ro. Nếu các khóa này bị khai thác, hacker có thể chèn mã độc vào ứng dụng, đánh cắp dữ liệu người dùng hoặc mở rộng tấn công sang các hệ thống liên quan.
Vercel khuyến nghị người dùng kiểm tra log hoạt động, rà soát các lần deploy gần đây và nhanh chóng thay đổi toàn bộ thông tin nhạy cảm như API key, token và mật khẩu. Đồng thời, người dùng cần kiểm tra hệ thống Google Workspace để phát hiện các ứng dụng OAuth đáng ngờ, đặc biệt là app có ID đã được công bố trong danh sách IOC liên quan đến vụ tấn công.
Dù chưa có kết luận cuối cùng, đây được xem là một trong những sự cố bảo mật đáng chú ý nhất gần đây đối với hệ sinh thái dev sử dụng Vercel. Trong thời điểm hiện tại, việc chủ động bảo vệ hệ thống và xoay vòng toàn bộ key truy cập là hành động cần thiết để tránh trở thành mắt xích trong một chuỗi tấn công lớn hơn.