Vercel rät seinen Kunden zu mehreren Schutzmaßnahmen: Sie sollten ihre Umgebungsvariablen überprüfen, die Funktion für sensible Umgebungsvariablen nutzen und bei Bedarf Geheimnisse (Secrets) neu erzeugen.

Der Vorfall wurde bekannt, nachdem ein Angreifer, der sich als „ShinyHunters" ausgab, in einem Hackerforum behauptete, Vercel kompromittiert zu haben und Zugang zu Unternehmensdaten zu verkaufen. Hierzu ist anzumerken, dass Bedrohungsakteure, die mit jüngsten, der Erpressergruppe ShinyHunters zugeschriebenen Angriffen in Verbindung gebracht werden, gegenüber BleepingComputer bestritten haben, an diesem Vorfall beteiligt zu sein – auch wenn der Angreifer sich als Teil der Gruppe darstellt.

In seinem Forenbeitrag bot der Angreifer angeblich Zugangsschlüssel, Quellcode und Datenbankinhalte an, die er bei Vercel gestohlen haben will, sowie Zugang zu internen Deployments und API-Schlüsseln. Als Beleg verwies er auf Daten von Linear; der angebotene Zugang umfasse darüber hinaus mehrere Mitarbeiterkonten mit Zugriff auf verschiedene interne Deployments und API-Schlüssel, darunter NPM- und GitHub-Tokens.

Zusätzlich stellte der Angreifer eine Textdatei mit Mitarbeiterinformationen bereit. Sie enthält nach den vorliegenden Angaben 580 Datensätze mit Namen, Vercel-E-Mail-Adressen, Kontostatus und Aktivitätszeitstempeln. Außerdem teilte er einen Screenshot, der ein internes Vercel-Enterprise-Dashboard zeigen soll. BleepingComputer konnte nicht unabhängig bestätigen, ob die Daten oder der Screenshot echt sind.

In Nachrichten über Telegram gab der Angreifer zudem an, mit Vercel im Kontakt zu stehen und über eine Lösegeldforderung von zwei Millionen US-Dollar gesprochen zu haben. BleepingComputer hat Vercel mit weiteren Fragen zu dem Einbruch kontaktiert – unter anderem, ob sensible Daten oder Zugangsdaten offengelegt wurden und ob mit den Angreifern verhandelt wird.