Vercel bestätigt Sicherheitsverletzung, Hacker fordert 2 Millionen USD Lösegeld

Vercel, die Webhosting- und Deployment-Plattform, die als Frontend-Infrastruktur für einen erheblichen Teil des Kryptowährungs- und Web3-Ökosystems dient, bestätigte am 19. April 2026, dass ein Angreifer über ein kompromittiertes Google Workspace-Konto eines Mitarbeiters Zugriff auf interne Umgebungen erlangt hat. Dies war die Folge einer OAuth-Sicherheitslücke bei einem Drittanbieter, dem KI-Produktivitätstool Context.ai. Ein Bedrohungsakteur forderte anschließend ein Lösegeld in Höhe von 2.000.000 USD und veröffentlichte in einem Hacking-Forum angebliche Vercel-Zugriffsschlüssel, Quellcode, API-Token sowie eine Datei mit etwa 580 Mitarbeiterdatensätzen. Währenddessen bestätigte der Vorstandsvorsitzende von Vercel, dass Umgebungsvariablen von Kunden im Ruhezustand verschlüsselt sind und ein begrenzter Teil der Kunden benachrichtigt wurde, ihre Anmeldedaten zu ändern.

Wir vermuten, dass dies weniger eine Geschichte über die interne Sicherheitslage von Vercel ist, sondern vielmehr ein strukturelles Signal für die Angriffsfläche, die entsteht, wenn Entwickler-Tools, KI-Integrationen und Deployment-Infrastrukturen in einer einzigen OAuth-Vertrauenskette zusammenlaufen – ein Vektor, den Smart-Contract-Audits und Sicherheitsüberprüfungen auf Protokollebene nicht abdecken und für den sie nie konzipiert wurden.

ENTDECKEN: Beste Kryptowährungen zum jetzigen Kauf

Vercel-Sicherheitsvorfall: OAuth-Lieferketten-Pivot, Exponierung von Umgebungsvariablen und Plattform-Bestätigungen

Der Mechanismus funktioniert wie folgt: Context.ai, ein KI-Tool eines Drittanbieters, das von mindestens einem Vercel-Mitarbeiter genutzt wurde, erlebte eine Kompromittierung seiner Google Workspace OAuth-Anwendung im Rahmen eines größeren Vorfalls, der potenziell hunderte von Organisationen betraf.

Diese Kompromittierung erlaubte es einem Angreifer, von der Google Workspace-Sitzung des Mitarbeiters in die internen Umgebungen von Vercel zu wechseln – wobei durch Enumeration Zugriff auf unverschlüsselte Umgebungsvariablen erlangt wurde, anstatt durch einen direkten Einbruch in die eigenen Authentifizierungssysteme von Vercel.

See more

VERCEL just got breached.

They’re selling internal DB + employee accounts + GitHub/NPM tokens for $2M on BreachForums.

looks like someone got early access to Claude Mythos 💀 https://t.co/BVCDvoSHfs pic.twitter.com/6bJ7Sx9O5M

— shirish (@shiri_shh) April 19, 2026

Vercel-CEO Guillermo Rauch äußerte sich zu dem Vorfall auf X: „Vercel speichert alle Umgebungsvariablen der Kunden im Ruhezustand vollständig verschlüsselt. Wir verfügen über zahlreiche Defense-in-Depth-Mechanismen… Leider erhielt der Angreifer durch seine Enumeration weiteren Zugriff.“ Der Einbruch ereignete sich am 19. April 2026. Vercel arbeitet derzeit mit Mandiant – der forensischen Firma im Besitz von Google – sowie mit Strafverfolgungsbehörden, Branchenkollegen und Context.ai zusammen, um den vollen Umfang des Datenzugriffs zu bestimmen. Vercel hat außerdem einen „Indicator of Compromise“ für die schadhafte OAuth-Anwendung veröffentlicht, um andere Unternehmen bei der Erkennung zu unterstützen.

Ein Bedrohungsakteur, der das Pseudonym „ShinyHunters“ verwendet – obwohl verbundene Erpressergruppen diese Verbindung bestritten haben – postete in einem Hacking-Forum und behauptete, Vercel-Zugriffsschlüssel, Quellcode, Datenbankinhalte, interne Deployment-Daten, NPM- und GitHub-API-Token sowie eine Textdatei mit etwa 580 Namen, E-Mail-Adressen und Statusdatensätzen von Mitarbeitern zu verkaufen.

Derselbe Akteur stellte eine Lösegeldforderung in Höhe von 2.000.000 USD. Es ist notwendig, den epistemischen Status einiger Details hervorzuheben: Die Authentizität der veröffentlichten Daten wurde nicht unabhängig verifiziert; es bleibt unbestätigt, ob Vercel das Lösegeld gezahlt, abgelehnt hat oder darüber verhandelt; der volle Umfang des Abflusses von Kundendaten wurde nicht offengelegt; und die wahre Identität des Angreifers bleibt unbekannt.

Vercel hat bestätigt, dass Open-Source-Projekte, einschließlich Next.js und Turbopack, nicht betroffen sind, und hat sein Dashboard um eine Übersichtsseite für Umgebungsvariablen sowie verbesserte Tools zur Verwaltung sensibler Variablen aktualisiert.

ERKUNDEN: Beste Meme-Coins im Blick

next