Облачная платформа для фронтенда Vercel, создатель Next.js и Turbo.js, предупредила о взломе данных после того, как скомпрометированное стороннее приложение с искусственным интеллектом использовало OAuth для доступа к ее внутренним системам.
Сотрудник Vercel использовал стороннее приложение, идентифицированное как Context.ai, что позволило злоумышленникам захватить его учетную запись Google Workspace и получить доступ к некоторым переменным среды, которые, по заявлению компании, не были помечены как «конфиденциальные».
«Переменные среды, помеченные как “конфиденциальные” в Vercel, хранятся таким образом, который не позволяет их прочитать, и в настоящее время у нас нет доказательств того, что эти значения были доступны», — говорится в заявлении Vercel о безопасности.
Инцидент затронул то, что компания описала как «ограниченную подмножество» клиентов, чьи учетные данные Vercel были скомпрометированы. С этими клиентами связались с просьбой сменить учетные данные, сообщила Vercel.
Согласно сообщениям, появившимся в интернете, злоумышленник, утверждающий, что он из группы Shinyhunters, начал пытаться продавать украденные данные, которые предположительно включают ключ доступа, исходный код и закрытую базу данных, еще до того, как Vercel публично подтвердила взлом.
Взлом доступа
В заявлении Vercel подтверждено, что первоначальным вектором доступа стал Google Workspace OAuth, связанный с Context.ai. После компрометации приложения злоумышленники унаследовали предоставленные ему разрешения, включая доступ к учетной записи сотрудника Vercel.
Остается неясным, была ли скомпрометирована инфраструктура Context.ai, были ли украдены токены OAuth, или утечка сессии/токена в рабочей среде ИИ позволила злоумышленникам злоупотребить аутентифицированным доступом к средам Vercel. Context.ai не сразу ответила на запрос CSO о комментариях.
«Мы напрямую связались с Context.ai, чтобы понять полный масштаб лежащего в основе компрометации», — говорится в сообщении Vercel. «Мы оцениваем злоумышленника как высококвалифицированного, основываясь на его оперативной скорости и детальном понимании систем Vercel. Мы работаем с Mandiant, дополнительными фирмами по кибербезопасности, отраслевыми партнерами и правоохранительными органами».
Vercel настоятельно рекомендовала своим клиентам просмотреть журналы активности на предмет подозрительного поведения и сменить переменные среды, особенно любые незащищенные секреты, которые могли быть раскрыты. Компания также рекомендовала включить защиту конфиденциальных переменных, проверить недавние развертывания на наличие аномалий и усилить меры безопасности путем обновления настроек защиты развертывания и смены соответствующих токенов при необходимости.
Vercel подчеркнула, что конфиденциальные секреты, включая ключи API, токены, учетные данные базы данных и ключи подписи, которые не были помечены как «конфиденциальные», следует рассматривать как потенциально скомпрометированные и в приоритетном порядке сменить.
Для пользователей, охваченных паникой, Vercel предложила короткий путь. «Если с вами не связывались, у нас нет оснований полагать, что ваши учетные данные Vercel или личные данные были скомпрометированы на данный момент», — успокаивает сообщение.
Предположительно взлом от ShinyHunters
Согласно скриншотам, циркулирующим в интернете, злоумышленник уже заявил о взломе в даркнете и пытается продать добычу. «Приветствую всех, сегодня я продаю ключ доступа/исходный код/базу данных компании Vercel», — заявил злоумышленник в одном из таких постов. «Назовите свою цену, если заинтересованы. Если все сделать правильно, это может стать самой крупной атакой на цепочку поставок в истории».
Данные были выставлены на продажу за 2 миллиона долларов 19 апреля.
На скриншоте видно, что злоумышленник использует домен «BreachForums», заявляя (неявно), что он сам является одним из операторов печально известного хакерского сайта — Shinyhunters. Другие признаки включают Telegram-канал «@Shinyc0rpsss» и адрес электронной почты «shinysevy@tutamail.com», упомянутые в посте.
Хотя недавние инциденты намекали на возвращение ShinyHunters после блокировок и предполагаемых арестов, весьма вероятно, что это самозванец, использующий это имя для придания авторитета, что уже случалось.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
