// Popular Articles
Vercel xác nhận: không có npm package nào bị xâm nhập sau vụ breach tháng 4/2026
Sau khi ShinyHunters rao bán dữ liệu nội bộ Vercel trên BreachForums với giá 2 triệu USD, đội ngũ bảo mật Vercel — phối hợp cùng GitHub, Microsoft, npm và Socket — đã hoàn tất audit chuỗi cung ứng và khẳng định: không có gói npm nào do Vercel phát hành bị can thiệp. Next.js, Turbopack và toàn bộ open-source ecosystem vẫn an toàn. Tuy nhiên, đây không phải là dấu chấm hết — khách hàng trực tiếp của Vercel vẫn cần rotate toàn bộ env vars non-sensitive.
MCP OAuth Proxy bị dính Account Takeover 1-click: Vì sao PKCE không cứu được bạn
Một click vào link của attacker là đủ để rút ra access token production 24 giờ + refresh token 14 ngày — không cần phishing page. Ba lỗi chained (open DCR + thiếu redirect_uri validation + PKCE không bảo vệ initiator) đang phơi mặt trên hàng loạt MCP OAuth proxy.
MCPorter 0.9.0: Runtime Tool Filtering, Windows OAuth Fix, and Sturdier Stdio
Peter Steinberger ships MCPorter 0.9.0 — per-server allow/block tool filters, a Windows OAuth URL-quoting fix, schema-aware string coercion, and tougher stdio child-process shutdowns. Small release, sharp edges removed for anyone calling MCP servers from TypeScript or the CLI.
Vercel bị hack: ShinyHunters rao bán source code và API keys giá 2 triệu USD
Vercel xác nhận hệ thống nội bộ bị xâm nhập qua OAuth của Context.ai. Kẻ tấn công rao bán source code, GitHub/NPM tokens và 580 bản ghi nhân viên với giá 2 triệu USD. Developer cần kiểm tra và xoay vòng secrets ngay.
Vercel bị hack: Context.ai OAuth lộ, hacker rao bán 2 triệu đô — dev cần làm gì ngay
Vercel xác nhận ngày 19/04/2026 có truy cập trái phép vào hệ thống nội bộ. Nguồn gốc: tool AI thứ ba Context.ai bị chiếm OAuth Google Workspace, hacker pivot vào tài khoản nhân viên Vercel. Biến môi trường không bật cờ sensitive đã bị phơi. 580 hồ sơ nhân viên bị rao bán 2 triệu USD trên BreachForums. Dev dùng Vercel cần rotate credentials ngay.
Stop Shadow SaaS in 2 Clicks: Lock Down Third-Party OAuth in Google Workspace
Every 'Sign in with Google' click on a random SaaS grants scopes to your corp Drive and Gmail. One admin setting blocks them all by default and makes you whitelist the apps you actually trust. Here's how it works, what breaks, and how to roll it out.
Vercel Breach (April 2026): Step-by-Step Response Guide Cho Dev
Vercel xác nhận bị xâm nhập qua OAuth app của một AI tool bên thứ ba. 580 hồ sơ nhân viên bị lộ, env vars non-sensitive coi như compromised. Đây là checklist rotate secrets, kiểm tra Google Workspace, và vá dài hạn bạn nên làm trong 30 phút tới.
Vercel bị tấn công: Env vars của bạn có thể đã lộ — làm ngay 4 việc này
Ngày 19/04/2026 Vercel xác nhận có truy cập trái phép vào hệ thống nội bộ. Một kẻ tấn công rao bán access keys, source code, GitHub/NPM tokens và đòi tiền chuộc 2 triệu USD. Mọi khách hàng nên rotate env vars non-sensitive ngay.