← Terug naar blog
Security briefing4 min read2026-04-20

Security briefing, 20 april 2026: Vercel-inbreuk, Apple-phishingmails en NIST CVE-vertraging

Het beeld van vanochtend draait om afbrokkelend vertrouwen. Een cloudplatform handelt een beveiligingsincident af, Apple’s eigen e-mailpad wordt misbruikt voor phishing en de kwetsbaarhedenpijplijn staat zo onder druk dat NIST minder prioritaire gevallen minder verrijkt.


Kernpunt: Drie dingen tellen vandaag: vertrouwen in leveranciersplatforms, vertrouwen in officiële e-mail en vertrouwen in publieke kwetsbaarhedentriage. Alle drie zijn net zwakker geworden.


1. Vercel bevestigde een inbreuk nadat aanvallers data probeerden te verkopen

Volgens BleepingComputer heeft Vercel een security-incident bekendgemaakt nadat aanvallers beweerden de systemen te hebben gecompromitteerd en gestolen data te willen verkopen. Ook zonder volledig publiek bereik is de les simpel: toegang tot cloud- en ontwikkelaarsplatforms is productie-toegang.


2. Apple-meldingen over accountwijzigingen werden misbruikt voor geloofwaardiger phishing

Aanvallers vonden een manier om legitieme Apple-notificaties over accountwijzigingen te misbruiken, zodat phishinginhoud in e-mails van Apple-infrastructuur werd afgeleverd. Dat is belangrijk omdat zowel gebruikers als filters de afzender vertrouwen. Een echte afzender maakt een bericht nog niet veilig.


3. NIST doet een stap terug bij scoring van lagere prioriteitskwetsbaarheden

NIST zei dat het geen volledige severity-scores meer zal toekennen aan CVE’s met lagere prioriteit omdat het aantal inzendingen sterk is gestegen. The Hacker News noemde een stijging van 263 procent tussen 2020 en 2025. Teams die zwaar leunen op NVD-verrijking zullen intern scherper moeten prioriteren.


Wat securityteams vandaag moeten doen

  1. Controleer of productie- of CI/CD-systemen op Vercel leunen en roteer blootgestelde secrets eerst.
  2. Stuur een korte phishingwaarschuwing dat legitieme Apple-mails nog steeds misbruikt kunnen worden.
  3. Herzie kwetsbaarheidsworkflows die afhankelijk zijn van NVD-scoring en verwijder onnodige wachttijd.
  4. Vertel het management wat het gemeenschappelijke thema is: vertrouwde kanalen zijn nu ook aanvalsvlak.

Kortom: Vandaag laat opnieuw zien dat beveiliging breekt wanneer verdedigers vertrouwen te makkelijk uitbesteden aan cloudplatforms, officiële mail of publieke score-systemen. Verifieer meer, neem minder aan.

Zie vertrouwensgaten voordat aanvallers dat doen

KENSAI helpt teams blootgestelde systemen, zwakke identity-paden en risicovolle afhankelijkheden te vinden voordat die blinde vlekken incidenten worden.

Start gratis scan →

Blijf scherp.

🗡️ KENSAI Security Team