Vercel, la società che ha creato e mantiene il framework open-source Next.js, ha pubblicato un security bulletin in cui ha ammesso accessi non autorizzati ad alcuni sistemi interni e la compromissione delle credenziali di un sottoinsieme di clienti. La risposta immediata è stata quella canonica tra notifica agli interessati, rotazione obbligatoria delle credenziali e attivazione di misure di monitoraggio rafforzato. I servizi, precisa l’azienda, sono comunque rimasti operativi per tutto il tempo.

L’aspetto più interessante della vicenda non riguarda però direttamente Vercel. L’origine dell’incidente è infatti esterna e deriva da un dipendente dell’azienda che usava Context.ai (uno strumento AI di terze parti) con il proprio account Google Workspace aziendale. È da lì che tutto ha avuto inizio.

Context.ai aveva già subito un attacco a marzo, quando un attore non autorizzato aveva ottenuto accesso al suo ambiente AWS. L’azienda aveva ingaggiato CrowdStrike per l’indagine forense e chiuso l’infrastruttura compromessa, ritenendo di aver contenuto il danno. Solo ad aprile, ricevute informazioni da Vercel, ha scoperto che durante quell’incidente erano stati probabilmente sottratti anche token OAuth appartenenti ad alcuni utenti consumer del proprio prodotto AI Office Suite.

incidente vercel

Crediti: Shutterstock

Uno di quegli utenti era, appunto, un dipendente Vercel. Visto che AI Office Suite offre agli utenti la possibilità di connettere agenti AI alle proprie applicazioni esterne tramite OAuth, questo dipendente aveva concesso i permessi usando il proprio account Google Workspace enterprise con impostazione “Allow All”. L’attaccante, in possesso del token OAuth compromesso, ha sfruttato quella connessione per prendere il controllo dell’account Google Workspace del dipendente e, da lì, accedere ad alcuni ambienti Vercel e alle relative variabili d’ambiente non contrassegnate come “sensitive”.

Quello che emerge dalla ricostruzione è una sequenza di decisioni sbagliate distribuite su più livelli e più attori. Context.ai ha gestito male la propria infrastruttura di sicurezza e l’indagine di CrowdStrike non ha identificato in tempo la compromissione dei token OAuth. Dal canto suo, Vercel non aveva configurazioni sufficientemente restrittive sul proprio Google Workspace enterprise, permettendo che un account dipendente potesse concedere permessi così ampi a un servizio esterno. Il dipendente stesso ha usato credenziali aziendali per accedere a un prodotto consumer senza che esistessero blocchi tecnici a impedirlo.

Nessuno di questi errori, preso singolarmente, sarebbe necessariamente fatale, ma insieme hanno costruito un percorso che un attaccante ha saputo percorrere dall’inizio alla fine.

La vicenda è insomma un caso di studio su un vettore di rischio che gli esperti di infosec segnalano da mesi, ovvero la proliferazione di strumenti AI agentici che richiedono accesso delegato ad applicazioni esterne attraverso OAuth o meccanismi simili. Ogni connessione di questo tipo è una superficie d’attacco potenziale e la logica del “Allow All”, comoda per l’utente finale ma potenzialmente catastrofica in caso di compromissione del token, amplifica il raggio d’azione di qualsiasi attaccante che riesca a impossessarsi di quelle credenziali.

(Immagine in apertura: Shutterstock)