Vercel mengungkap adanya insiden keamanan yang melibatkan akses tanpa izin ke sistem internal mereka, yang memengaruhi sejumlah kecil pelanggan.
Platform web hosting tersebut menerbitkan buletin keamanan pada 19 April, dan mengimbau semua pengguna untuk segera meninjau variabel environment mereka.
Apa yang Terjadi di Vercel
Berdasarkan pernyataan resmi dari Vercel, penyerang berhasil mendapatkan akses tanpa izin ke beberapa sistem internal. Perusahaan sudah melibatkan ahli penanganan insiden dan telah melaporkan kejadian ini ke pihak berwajib.
Pengembang Theo Browne juga membagikan detail tambahan, ia menyebut integrasi Linear dan GitHub Vercel menjadi yang paling terdampak oleh serangan ini.
Meski begitu, variabel environment yang ditandai sebagai “sensitif” di platform tetap terlindungi.
Variabel yang tidak ditandai sebagai sensitif sebaiknya langsung diganti untuk berjaga-jaga.
Cara pelanggaran ini kemungkinan juga menargetkan beberapa perusahaan lain selain Vercel. Namun, jumlah pelanggan yang benar-benar terdampak masih belum jelas karena investigasi masih berjalan.
Mengapa Proyek Kripto Perlu Memberi Perhatian
Banyak frontend kripto dan Web3 seperti konektor wallet maupun antarmuka decentralized application berjalan di Vercel.
Proyek yang menyimpan API key, endpoint RPC privat, atau data rahasia terkait wallet di variabel environment yang tidak ditandai sensitif bisa mengalami potensi kebocoran.
Kebocoran ini tidak berdampak secara langsung pada blockchain atau smart contract, sebab operasi keduanya memang terpisah dari hosting frontend.
Namun, pipeline deploy yang sudah dikompromikan secara teori bisa digunakan untuk memodifikasi build pada akun yang terdampak.
Sejauh ini belum ada bukti manipulasi build seperti itu.
Vercel menyarankan semua pengguna segera memeriksa variabel environment serta mengaktifkan fitur variabel sensitif di platformnya.
Pakar keamanan juga menyarankan untuk melakukan regenerate pada token GitHub yang terhubung ke integrasi Vercel, dan mengaudit log build terbaru untuk memastikan tidak ada kredensial yang tersimpan di cache.
Kejadian ini menjadi pengingat tentang risiko yang dihadirkan platform deployment terpusat di ruang yang bercita-cita terdesentralisasi.
