HackerangriffeSchwachstellenCloud-Sicherheit

Vercel gehackt: Next.js-Plattform Opfer von Datenleck

Vercel gehackt: Next.js-Plattform Opfer von Datenleck
Zusammenfassung

Der Cloud-Hosting-Dienst Vercel, bekannt als Schöpfer des populären Next.js-Frameworks, ist Opfer eines Cyberangriffs geworden. Ein Hacker, der sich als Mitglied der berüchtigten ShinyHunters-Gruppe ausgibt, bot am 19. April gestohlene Daten aus Vercels Systemen zum Verkauf für zwei Millionen Dollar an – einschließlich Datenbanken, Zugriffsschlüssel, Mitarbeiterkonten und Quellcode. Vercel bestätigte später den unbefugten Zugriff auf interne Systeme und gab an, dass Anmeldedaten einer begrenzten Anzahl von Kunden kompromittiert wurden. Der Angriff war Vercels Angaben zufolge eine Folge der Kompromittierung von Context.ai, eines KI-Tools, das von einem Vercel-Mitarbeiter genutzt wurde. Dies unterstreicht die wachsende Gefahr von Supply-Chain-Attacken durch unsichere Drittanbieter-Software. Für deutsche Nutzer und Unternehmen, die Vercel für ihre Web-Anwendungen einsetzen, könnte dies erhebliche Sicherheitsimplikationen haben. Besonders kritisch ist die Warnung des Hackers von einem möglichen „größten Supply-Chain-Angriff überhaupt", was die potenzielle Auswirkung auf abhängige Entwickler und Dienste verdeutlicht. Unternehmen sollten ihre Umgebungsvariablen überprüfen und ihre Sicherheitsmaßnahmen verstärken.

Vercel bestätigte am Sonntag die Sicherheitsverletzung und leitete umfangreiche Ermittlungen ein. Das Unternehmen erklärte, dass die Anmeldedaten einer begrenzen Anzahl von Kunden kompromittiert wurden. Betroffene Nutzer wurden benachrichtigt und aufgefordert, ihre Passwörter zurückzusetzen.

Der Sicherheitsvorfall führt die Ermittler zu einer interessanten Erkenntniskette: Alles begann mit der Kompromittierung von Context.ai, einem KI-Tool eines Vercel-Mitarbeiters. Der Angreifer nutzte diese Zugangsdaten, um das Google-Workspace-Konto des betroffenen Mitarbeiters zu übernehmen und konnte so auf interne Vercel-Systeme und Umgebungsvariablen zugreifen, die nicht als “sensibel” gekennzeichnet waren.

CEO Guillermo Rauch erläuterte in einem Post auf X, dass Vercel alle Umgebungsvariablen von Kunden vollständig verschlüsselt speichert und über mehrschichtige Sicherheitsmechanismen verfügt. Das Problem: Das Unternehmen bietet eine Funktionalität an, um bestimmte Umgebungsvariablen als “nicht-sensibel” zu kennzeichnen. Diese Unterscheidung ermöglichte dem Angreifer, weitere Systeme zu infiltrieren.

Die Threat-Intelligence-Firma Hudson Rock berichtet, dass der Lumma-Stealer bereits im Februar 2026 die Anmeldedaten eines Context.ai-Mitarbeiters erbeutet haben könnte – eine Information, die auf einen länger andauernden Kompromittierungsprozess hindeutet.

Das BreachForum-Posting des Angebots wurde mittlerweile gelöscht, und die ShinyHunters-Gruppe dementierte ihre Verantwortung für den Angriff öffentlich. Es bleibt unklar, ob die Cyberkriminellen die Vercel-Daten tatsächlich auf ihrer Leak-Website veröffentlichen werden.

Für die deutsche Entwickler-Community stellt dieser Vorfall ein erhebliches Risiko dar. Vercel ist als Hosting-Plattform für moderne Web-Anwendungen weit verbreitet. Unternehmen sollten ihre Umgebungsvariablen überprüfen, kritische Zugriffsschlüssel aktualisieren und ihre API-Keys austauschen. Besondere Aufmerksamkeit sollte auf Third-Party-Tools gelegt werden, die Mitarbeiter verwenden – ein klassischer Angriffspunkt für Supply-Chain-Attacken. Vercel hat versprochen, während der Ermittlungen regelmäßig aktualisierte Informationen zu veröffentlichen.

Ähnliche Artikel