Violazione Vercel: il rischio Shadow AI OAuth svelato
La violazione Vercel rivela il pericolo delle Shadow AI integration: come un token OAuth dimenticato ha aperto le porte aziendali. Ecco cosa sapere.
Contenuto
Un singolo dipendente, un'app AI deprecata e un token OAuth persistenti: questi gli ingredienti della violazione di sicurezza che ha colpito Vercel nella primavera 2026. L'incidente, reso pubblico il 19 aprile tramite un bollettino ufficiale, dimostra come le integrazioni AI non autorizzate rappresentino una superficie di attacco sempre più critica per le organizzazioni moderne.
La catena d'attacco ha origine da Context.ai, uno strumento AI di terza parte utilizzato da un dipendente Vercel. Ciò che rende il caso paradigmatico è il fatto che Vercel non fosse nemmeno un cliente registrato di Context.ai: si trattava di un prodotto consumer deprecato chiamato "AI Office Suite", una connessione OAuth rimasta attiva ben oltre l'oblio del tool stesso.
La cronologia dell'attacco: da un cheat per Roblox all'esfiltrazione Vercel
Secondo le ricostruzioni disponibili, tutto inizia intorno al febbraio 2026, quando un dipendente di Context.ai contrae un'infezione da Lumma Stealer, un malware infostealer. La fonte dell'infezione sarebbe riconducibile alla ricerca di trucchi per il videogioco Roblox da parte del lavoratore. Il malware ha esfiltrato credenziali aziendali, token di sessione e token OAuth dall'ambiente compromesso.
Nel marzo 2026, l'attaccante ha sfruttato queste credenziali per accedere all'ambiente AWS di Context.ai. Da qui, ha esfiltrato i token OAuth degli utenti consumer, incluso il token Google Workspace di un dipendente Vercel che aveva precedentemente autorizzato l'applicazione. L'accesso OAuth ha permesso all'attaccante di entrare nell'account Google Workspace del dipendente Vercel e, successivamente, di pivotare verso i sistemi interni dell'azienda.
Tra marzo e aprile 2026, l'intruso ha iniziato l'enumerazione delle variabili d'ambiente dei clienti Vercel. Il dipendente compromesso disponeva di accesso significativo: dashboard interne, record dei dipendenti, API key, token NPM e credenziali GitHub. Il 10 aprile 2026, OpenAI ha notificato un cliente Vercel riguardo a una API key leakata, segnalazione che ha contribuito a far emergere la violazione.
Vercel ha pubblicato il proprio bollettino di sicurezza il 19 aprile 2026. Il CEO Guillermo Rauch ha confermato la catena d'attacco, identificando Context.ai come la terza parte compromessa. L'attaccante avrebbe richiesto un riscatto di 2 milioni di dollari. Secondo quanto riportato da alcune fonti, un attore affiliato a ShinyHunters avrebbe iniziato a vendere dati Vercel su BreachForums, sebbene questa circostanza non sia stata verificata in modo indipendente.
Shadow AI integration: quando le app dimenticate diventano porte aperte
Analisti di Push Security hanno definito l'incidente come un caso esemplare di "Shadow AI integration": non si tratta solo dell'uso di tool AI non approvati, ma della creazione di ponti OAuth persistenti che rimangono attivi anche quando l'applicazione viene dimenticata. Come spiegato dagli analisti: "In the Vercel case, we're talking specifically about shadow integrations. But all of these present a key risk to your organization."
Il fenomeno è diffuso. Secondo i dati raccolti, in media si osservano 17 integrazioni di app AI uniche per organizzazione su Microsoft e Google. Ogni nuova connessione OAuth aumenta la superficie di attacco. BleepingComputer ha sottolineato: "OAuth integrations are becoming one of the most reliably abused attack surfaces in enterprise environments, and every new AI tool your employees connect makes the web a little wider."
Il team di sicurezza di Vercel ha descritto l'attaccante come "highly sophisticated based on their operational velocity and in-depth understanding of Vercel's product API surface". La velocità operativa e la comprensione approfondita delle API hanno permesso all'intruso di muoversi rapidamente attraverso i sistemi interni.
Il contesto più ampio: attacchi OAuth in crescita
L'incidente Vercel si inserisce in un trend preoccupante. Gli attacchi di tipo device code phishing sono aumentati di 37 volte quest'anno. Nel 2025, l'attacco "Scattered Lapsus$ Hunters" ha impattato oltre 1000 organizzazioni, con circa 1,5 miliardi di record rubati. Questi numeri evidenziano come le credenziali OAuth e le integrazioni di terze parti siano diventate vettori d'attacco privilegiati.
La dwell time, ovvero il tempo trascorso tra l'infezione iniziale e la disclosure, è stata di circa 2 mesi nel caso Vercel. Trend Micro aveva inizialmente riportato una compromissione a giugno 2024 con una dwell time di 22 mesi, ma ha successivamente corretto i propri dati: l'infezione è avvenuta a febbraio 2026.
Push Security ha evidenziato le conseguenze reputazionali per Context.ai: "You definitely don't want to be Context.ai in this scenario. The reputational harm could be pretty significant, and is a wake-up call for other SaaS vendors to check that their house is in order."
Le implicazioni per la sicurezza aziendale
L'incidente solleva questioni critiche per le organizzazioni che adottano tool AI. Il problema non è solo l'uso di applicazioni non autorizzate, ma la persistenza delle autorizzazioni OAuth. Quando un dipendente autorizza un'app AI ad accedere al proprio workspace, crea un canale che resta aperto finché non viene revocato manualmente. Anche se l'app viene abbandonata o deprecata, il token rimane valido.
Nel caso Vercel, l'applicazione Context.ai connessa era un prodotto consumer deprecato che non aveva alcuna relazione commerciale con l'azienda. Eppure, il token OAuth autorizzato da un singolo dipendente è bastato per fornire all'attaccante un punto d'ingresso critico. È la versione moderna del problema delle API key orfane, amplificata dalla velocità con cui i lavoratori adottano nuovi tool AI.
Le organizzazioni devono considerare che ogni integrazione OAuth rappresenta un potenziale punto di fallimento. La gestione centralizzata delle autorizzazioni, la rotazione periodica dei token e l'audit regolare delle connessioni di terze parti diventano pratiche essenziali.
Domande frequenti
- Cos'è una Shadow AI integration?
- È un'integrazione OAuth con un'applicazione AI non autorizzata che rimane attiva anche dopo che il dipendente ha smesso di usarla. Queste connessioni persistenti possono essere sfruttate dagli attaccanti per accedere agli ambienti aziendali.
- Quanto è durata la violazione Vercel?
- La dwell time è stata di circa 2 mesi, dall'infezione iniziale a febbraio 2026 alla pubblicazione del bollettino di sicurezza il 19 aprile 2026.
- Come si è originato l'attacco a Context.ai?
- Un dipendente Context.ai è stato infettato dal malware Lumma Stealer mentre cercava trucchi per il videogioco Roblox. Il malware ha esfiltrato credenziali e token OAuth dall'ambiente aziendale.
- Qual è il rischio delle integrazioni OAuth AI?
- Ogni integrazione OAuth crea un ponte persistente tra l'app e i dati aziendali. Se l'app viene compromessa o abbandonata, il token resta valido finché non viene revocato manualmente, esponendo l'organizzazione a rischi di accesso non autorizzato.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Fonti
- https://vercel.com/kb/bulletin/vercel-april-2026-security-incident
- https://www.tomshw.it/hardware/adt-violata-sicurezza-milioni-dati
- https://prothect.it/tecnologia/vercel-conferma-violazione-sicurezza-hacker-vendono-dati-rubati/
- https://www.weex.com/it/wiki/article/vercel-security-incident-what-happened-who-was-affected-and-what-to-do-next-99037
- https://www.netcrook.com/vercel-contextai-violazione-catena-ombra