A Vercel, uma das plataformas mais populares para desenvolvimento e hospedagem de aplicações web, se tornou vítima de um ataque sofisticado envolvendo abuso de permissões OAuth. <cite index="1-14">Um funcionário concedeu permissões amplas do Workspace a uma ferramenta de IA de terceiros, abrindo um caminho para os invasores através de confiança herdada</cite>.
O que torna este incidente particularmente preocupante é como ele foi descoberto. <cite index="1-15">O ataque não foi descoberto pela equipe de segurança da Vercel; foi descoberto quando o invasor escolheu monetizar publicamente</cite>. Isso significa que os criminosos tiveram acesso irrestrito aos sistemas da empresa por aproximadamente dois meses sem serem detectados.
<cite index="1-16,1-17">O gráfico OAuth agora é o novo perímetro, e a maioria das empresas não tem inventário de quais aplicativos de terceiros seus funcionários autorizaram. Apertar as análises de escopo OAuth e inventariar aplicativos autorizados de terceiros teria fechado o caminho lateral antes de ser utilizado</cite>.
Este incidente alerta para um perigo muitas vezes negligenciado por desenvolvedoras e startups brasileiras. A concessão de permissões amplas a ferramentas externas é comum em ambientes ágeis, mas deixa a porta aberta para comprometimentos em larga escala. Organizações devem revisar regularmente quais aplicativos têm acesso aos seus ambientes de desenvolvimento e implementar o princípio do menor privilégio.
O ataque à Vercel reforça uma lição crucial: a segurança não é apenas sobre proteger dados, mas também sobre gerenciar quem tem acesso a esses dados.