US$ 2 milhões. Esse é o valor que um grupo hacker está exigindo da Vercel após uma invasão crítica. A empresa de nuvem confirmou que um erro humano abriu as portas para criminosos. Se você utiliza o Next.js ou hospeda projetos na plataforma, essa notícia exige sua atenção total. ## O que aconteceu com a Vercel > "Um funcionário concedeu acesso total ao Google Workspace da empresa para uma ferramenta de IA de terceiros." A Vercel, conhecida por sua infraestrutura robusta, admitiu que sofreu uma violação de segurança séria. O ataque não explorou uma falha no código da Vercel, mas sim uma permissão excessiva. De acordo com a [Fonte original](https://www.tomshardware.com/tech-industry/cyber-security/vercel-breached-after-employee-grants-ai-tool-unrestricted-access-to-google-workspace), o invasor comprometeu uma ferramenta de IA chamada Context.ai. Através dessa ferramenta, o hacker obteve acesso à conta de um funcionário no Google Workspace. Isso permitiu que dados sensíveis de configuração fossem expostos para agentes externos. >📌 LEIA MAIS: [Confira as melhores escolhas de tecnologia do ano](https://www.tomshardware.com/best-picks) ## A falha no Context.ai e o acesso total O problema central foi a concessão de permissões irrestritas. O funcionário da Vercel permitiu que a ferramenta de IA pudesse ler e modificar dados corporativos. Quando a Context.ai foi invadida, o hacker herdou todas as chaves de acesso que a ferramenta possuía. ### O perigo da Shadow AI Este incidente levanta um alerta sobre o uso de IA sem supervisão. Muitos desenvolvedores adotam ferramentas novas para ganhar produtividade sem validar os riscos de segurança. ### Variáveis de ambiente expostas A Vercel confirmou que variáveis de ambiente não sensíveis foram acessadas. No entanto, em mãos erradas, até dados secundários podem ajudar em ataques mais complexos. ## Quem são os ShinyHunters? O grupo que assumiu a autoria do ataque é conhecido como **ShinyHunters**. Eles são famosos por invadir grandes corporações e exigir resgates milionários em criptomoedas. Neste caso, o valor pedido para não vazar os dados foi de **US$ 2 milhões**. O grupo afirma ter em mãos informações valiosas sobre a infraestrutura interna da Vercel. >📌 LEIA MAIS: [Análise completa dos processadores mais potentes do mercado](https://www.tomshardware.com/pc-components/cpus/reviews) ## O impacto para desenvolvedores Next.js A Vercel é a espinha dorsal do **Next.js**, um dos frameworks mais usados no mundo. Embora a empresa diga que o impacto foi limitado, a confiança da comunidade fica abalada. Desenvolvedores temem que segredos de seus projetos hospedados possam ter sido visualizados. A Vercel garantiu que já isolou a conta comprometida e revogou todos os acessos suspeitos. ### O que foi comprometido: - **Contas de e-mail**: Acesso parcial a comunicações internas. - **Documentos**: Arquivos armazenados no Google Drive da empresa. - **Configurações**: Variáveis de ambiente de alguns projetos internos. ## A resposta da Vercel e o papel da Mandiant Para lidar com a crise, a Vercel contratou a **Mandiant**, uma empresa de segurança do Google. A Mandiant é especialista em resposta a incidentes de alto nível em todo o mundo. Além disso, as autoridades policiais já foram notificadas sobre a tentativa de extorsão. Empresas que dependem de hardware de ponta, como as citadas em [GPU Reviews](https://www.tomshardware.com/pc-components/gpus/reviews), também reforçaram seus protocolos. ## Por que isso importa agora Este caso mostra que a maior vulnerabilidade da tecnologia atual ainda é o ser humano. Uma única permissão de "Permitir tudo" foi suficiente para gerar um prejuízo de milhões. As empresas precisam de políticas mais rígidas sobre quais ferramentas de IA podem ser usadas. > "A segurança de uma plataforma de nuvem é tão forte quanto o elo mais fraco de sua equipe." O mercado de nuvem está sob ataque constante, e a IA virou uma nova porta de entrada. Enquanto discutimos o poder de processamento em [CPU Reviews](https://www.tomshardware.com/pc-components/cpus/reviews), esquecemos de olhar para as permissões de software. ## O veredito A Vercel agiu rápido, mas a cicatriz na reputação vai demorar para fechar. O incidente serve como um aviso urgente para todas as empresas que usam IA generativa. Não dê acesso total aos seus dados para ferramentas que você não controla 100%. Qual dessas medidas de segurança você vai implementar primeiro no seu fluxo de trabalho?
