Vercel: как одна ошибка в OAuth привела к крупному взлому

Тема пришла из обсуждения на Reddit: пользователи r/sysadmin обсуждали взлом Vercel, который произошёл после того, как сотрудник компании вошёл в Context.ai с токеном, имеющим разрешение «Allow All». Пост набрал много голосов, и это не удивительно — ведь такое может произойти с любой компанией.

Как это случилось

Сотрудник Vercel зарегистрировался в Context.ai, используя рабочий аккаунт Google Workspace, и предоставил токену права «Allow All». Хакер, который ранее взломал Context.ai, получил доступ к токену и использовал его для проникновения в системы Vercel.

«Single token got Vercel hacked: "Allow all" OAuth» — пишет автор Cybernews.

Хронология событий

• Февраль 2026: Сотрудник Context.ai скачивает вредоносный скрипт Roblox auto-farm на рабочем устройстве, что приводит к заражению Lumma Stealer.
• Март 2026: Хакер получает доступ к окружению AWS Context.ai и находит токены OAuth, включая токен сотрудника Vercel.
• 27 марта: Google удаляет расширение Context.ai для Chrome после обнаружения второго внедренного гранта для файлов Drive.
• Апрель 2026: Хакер использует токен Vercel для доступа к инфраструктуре Vercel и похищает переменные окружения.

Почему это важно

Данные, похищенные хакером, включают детальный разбор счетов клиентов Vercel. Если бы хакер смог использовать токены GitHub или npm, это могло бы привести к куда более серьёзным последствиям.

«...every step is something a normal-sized team could miss» — замечает один из пользователей.

Анализ рынка: что уже существует

В России

• Нет аналогов EV Database — сервиса для детального сравнения электромобилей.
• Дром.ру — объявления о продаже электромобилей, но нет инструментов для сравнения стоимости владения.

За рубежом

• EV Database — детальное сравнение всех электромобилей с реальными характеристиками.
• Recurrent — отчёты о здоровье батареи подержанных EV, монетизация через подписку.

Незакрытая ниша: нет русскоязычного агрегатора для сравнения реальной стоимости владения EV с учётом российских тарифов на электричество.

Читайте также

• Полиция Торонто изъяла "SMS-бластеры": новый вид киберпреступности в Канаде
• Passkeys вместо паролей: почему это важно и что будет дальше
• Проблемы с локальными администраторами: как решить вопрос без революции