Vercel is gehackt via een geïnfecteerde OAuth-app. Dat maakte het bedrijf zelf bekend. Een aanvaller kreeg toegang tot interne systemen via een gecompromitteerde app van een derde partij. Vercel ontdekte de aanval snel en greep in. Daardoor bleef de schade beperkt.
De hack raakte vooral interne tools en systemen van Vercel zelf. Next.js, het populaire JavaScript-framework van Vercel, bleef buiten schot. Gebruikers van Next.js hoeven zich dus geen zorgen te maken. Vercel benadrukt dat de broncode van Next.js veilig is en niet is aangetast door de aanval.
Vercel neemt de beveiliging van OAuth-apps nu serieuzer. Het bedrijf onderzoekt hoe de aanval precies plaatsvond. Ook kijkt Vercel naar betere bescherming tegen dit soort aanvallen in de toekomst. OAuth is een veelgebruikte methode om apps toegang te geven tot andere systemen. Als zo’n app besmet raakt, kan een aanvaller meebewegen door interne systemen. Dit type aanval komt vaker voor bij technologiebedrijven.
