Vercel mostra riscos da autenticação OAuth

Uma desatenção que dê permissões excessivas num acesso OAuth a uma conta Google pode resultar numa grande dor de cabeça para uma empresa.

A Vercel confirmou ter sido alvo de um incidente de segurança após hackers alegarem estar a vender dados roubados. A empresa revelou que houve acesso não autorizado a alguns sistemas internos, afectando um número limitado de clientes, embora os serviços principais não tenham sido comprometidos.

Segundo a investigação inicial, o ataque terá começado com uma conta Google Workspace comprometida de um funcionário, através de uma aplicação OAuth ligada a uma ferramenta AI de terceiros. A partir daí, os atacantes conseguiram escalar privilégios e aceder a variáveis de ambiente não classificadas como sensíveis. A Vercel afirma que dados críticos e projetos open-source como o Next.js não foram afectados. Ainda assim, recomenda que os clientes revejam as suas variáveis de ambiente, activem a encriptação para dados sensíveis e façam rotação de credenciais como medida de precaução.

Quickest way to decrease the risk of something this happening to your company:

1. Go to https://t.co/WOro3jEvX7
2. Change your "Unconfigured third-party apps" settings

This will require an admin to approve any new apps that request potentially sensitive data like Gmail, Drive,… https://t.co/8LZ3XebbRK pic.twitter.com/Gzdt2ro9hZ

— Brendan Falk (@BrendanFalk) April 20, 2026

O incidente surge após um atacante afirmar estar a vender acessos, chaves API e outros dados internos, incluindo informação de funcionários. Embora a autenticidade dessa informação não tenha sido confirmada, a empresa diz já ter notificado as autoridades e que continua a investigar o caso.

A autenticação via OAuth é um sistema bastante funcional e interessante - permitindo dispensar a multiplicação de inúmeros registos em diferentes serviços - usando um único serviço para tal, como uma conta Google. No entanto, torna-se fundamental que se preste o devido cuidado ao tipo de acesso que é pedido. Por normal, deverá aceitar-se apenas o acesso a algo como o nome e endereço de email, e tratar com bastante suspeita/cuidado qualquer tipo de acesso adicional, como acesso a emails e conteúdos na cloud (como o Gmail e Google Drive) - e nunca aceitar permissões ainda mais perigosas, como a alteração de definições.