Incident de sécurité Vercel (avril 2026) : accès non autorisé via un outil IA tiers compromis

🔍 Contexte

Le 19 avril 2026, Vercel a publié un bulletin de sécurité officiel sur son site (vercel.com/kb/bulletin) signalant un incident de sécurité actif impliquant un accès non autorisé à certains systèmes internes. L’enquête est en cours avec l’appui d’experts en réponse à incident, et les autorités ont été notifiées.

🎯 Vecteur d’attaque identifié

L’investigation a révélé que l’incident trouve son origine dans la compromission d’une application OAuth Google Workspace appartenant à un outil IA tiers comptant des centaines d’utilisateurs. Ce vecteur a permis un accès non autorisé aux systèmes internes de Vercel.

📊 Impact

• Un sous-ensemble limité de clients a été impacté ; Vercel les contacte directement.
• Les services Vercel restent opérationnels.
• Des mesures de protection ont été engagées sur les systèmes et pour les clients.

🧩 IOC publié

Vercel a publié l’indicateur suivant pour permettre à la communauté de vérifier toute activité malveillante dans leurs environnements :

• OAuth App ID : 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com

Les administrateurs Google Workspace et propriétaires de comptes Google sont invités à vérifier immédiatement l’utilisation de cette application.

📌 Nature de l’article

Il s’agit d’une annonce d’incident publiée directement par Vercel, visant à informer ses clients et la communauté de sécurité, et à partager un IOC actionnable.

🧠 TTPs et IOCs détectés

TTP

• T1078.004 — Valid Accounts: Cloud Accounts (Initial Access)
• T1550.001 — Use Alternate Authentication Material: Application Access Token (Defense Evasion)

IOC

• URLs : https://110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com — URLhaus

🔴 Indice de vérification factuelle : 34/100 (basse)

• ⬜ vercel.com — source non référencée (0pts)
• ✅ 1506 chars — texte partiel (10pts)
• ✅ 1 IOC(s) (6pts)
• ⬜ 0/1 IOCs confirmés externellement (0pts)
• ✅ 2 TTP(s) MITRE (8pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://vercel.com/kb/bulletin/vercel-april-2026-security-incident