Pe scurt
- Platforma cloud Vercel a dezvăluit detalii despre un incident de securitate care a compromis unele acreditări ale clienților.
- CEO-ul companiei, Guillermo Raugh, a dezvăluit că grupul atacator a fost „foarte sofisticat" și probabil a folosit instrumente AI.
- Multe interfețe crypto folosesc Vercel pentru a-și găzdui UI-ul, compania recomandând rotația imediată a acreditărilor.
CEO-ul Vercel a declarat că un grup de hackeri „foarte sofisticat", potențial asistat de AI, a fost responsabil pentru un incident de securitate recent care a expus unele acreditări ale clienților în urma unei breșe în sistemele interne.
„Credem că grupul atacator este foarte sofisticat și, suspectez puternic, accelerat semnificativ de AI," a scris pe Twitter CEO-ul Guillermo Rauch, adăugând că atacatorii „s-au mișcat cu o viteză surprinzătoare și o înțelegere aprofundată a Vercel."
Compania, care este o platformă cloud pentru dezvoltatori, a declarat duminică că a identificat acces neautorizat la anumite sisteme interne și investighează activ. Incidentul a afectat un subset limitat de clienți ale căror acreditări au fost compromise, determinând compania să recomande rotația imediată a acreditărilor.
Breșa a provenit din compromiterea Context.ai, un instrument AI terț utilizat de un angajat Vercel, care a permis atacatorilor să preia controlul contului Google Workspace al angajatului și să obțină acces la unele medii Vercel și variabile de mediu non-sensibile.
Dezvăluirea evidențiază preocupările crescânde cu privire la riscurile de securitate prezentate de integrările terțe și instrumentele alimentate de AI, pe măsură ce atacatorii exploatează din ce în ce mai mult vulnerabilitățile lanțului de aprovizionare pentru a obține puncte de intrare în organizații.
Vercel și crypto
Natalie Newson, cercetător senior în securitate blockchain la CertiK, a declarat pentru Decrypt că evenimentul a declanșat urgență în rândul dezvoltatorilor crypto în mod special. „Deoarece multe interfețe crypto folosesc Vercel pentru a-și găzdui UI-ul, o breșă poate permite atacatorilor să implanteze un wallet drainer. Utilizatorii care interactionează cu o pagină de încredere nu se vor aștepta să apară ceva rău intenționat," a spus ea, adăugând că „Exploatările în spațiul crypto pot duce la pierderi financiare substanțiale."
Chiar dacă contractele smart rămân sigure, compromiterile front end încă prezintă riscuri. „Compromiterile front end pot fi deosebit de dăunătoare pentru utilizatorii finali," a menționat ea, indicând incidentul CoW Swap din aprilie în care un utilizator a văzut $316k drenați din portofelul său.
Ea a spus că tendința crescândă a AI agentic a determinat mulți utilizatori să posteze cele mai recente aplicații și extensii pentru a îmbunătăți productivitatea și actorii rău intenționați profită de această tendință. „Companiile ar trebui să fie extrem de precaute atunci când utilizează aplicații și extensii AI noi, revizuind în același timp modelele interne de securitate pentru a se asigura că dacă apare o breșă, impactul rămâne cât mai limitat posibil," a spus ea.
Rauch a spus că atacul s-a desfășurat printr-o „serie de manevre" începând cu contul angajatului compromis și escaladând către un acces mai larg la mediile interne. În timp ce Vercel stochează variabilele de mediu ale clienților criptate în repaus, compania permite marcarea unor variabile ca non-sensibile, la care atacatorii au putut accesa.
Compania consideră că numărul de clienți afectați este limitat și a declarat că a contactat ca prioritate pe cei potențial impactați. Vercel a implementat de atunci măsuri suplimentare de monitorizare și protecție, revizuind totodată lanțul său de aprovizionare pentru a asigura siguranța proiectelor precum Next.js și Turbopack.
John Woods, CEO al Nillion, a declarat pentru Decrypt că „subset limitat" înseamnă de obicei că setul observat de clienți afectați pare limitat până acum, dar nu exclude neapărat mișcări interne mai ample sau riscuri downstream mai largi. „În platformele cloud moderne, raza de explozie nu este doar despre câți clienți au fost vizibil impactați la început, ci și despre ce au putut atinge sistemele compromise în culise," a spus Woods.
El a recomandat companiilor să urmeze o varietate de practici optime pentru a evita acest tip de situație. „BlocațiGranturile OAuth, folosiți cel mai mic privilegiu, aplicați controale stricte în jurul variabilelor de mediu sensibile, separați implementarea frontend de autoritatea secretă sau de semnare și monitorizați îndeaproape implementările și jurnalele," a spus el.
„Pentru oricine ale căror acreditări pot fi fost luate, prioritatea imediată este să revoce accesul, să rotească acreditările și să revizuiască fiecare sistem la care aceste acreditări ar putea ajunge," a adăugat el, menționând că „La un nivel mai înalt, lecția este să evitați arhitecturile în care o singură compromitere poate ajunge la prea mult."
Nu este încă clar cine se află în spatele atacului. Au apărut capturi de ecran ale unui utilizator cu numele grupului de hackeri „ShinyHunters" care pretinde pe un forum că a pătruns în Vercel și că vinde acces la datele companiei, inclusiv cod sursă, chei API și sisteme interne.
Actorul, care ar putea de asemenea să-l personifice pe ShinyHunters, a pretins de asemenea că a discutat cu compania o cerere de răscumpărare de 2 milioane de dolari. Vercel nu a răspuns imediat la o solicitare de confirmare a acestor afirmații.
Newsletter Daily Debrief
Începeți fiecare zi cu cele mai importante știri chiar acum, plus materiale originale, un podcast, videoclipuri și multe altele.
Sursă: https://decrypt.co/364869/highly-sophisticated-ai-powered-hackers-behind-vercel-breach-ceo
