Коротко
- Хмарна платформа Vercel розкрила подробиці інциденту безпеки, який скомпрометував деякі облікові дані клієнтів.
- Генеральний директор компанії Гільєрмо Рауг повідомив, що атакуюча група була "надзвичайно вишуканою" і, ймовірно, використовувала інструменти ШІ.
- Багато криптовалютних інтерфейсів використовують Vercel для розміщення свого UI, а компанія рекомендує негайно змінити облікові дані.
Генеральний директор Vercel заявив, що "надзвичайно вишукана" група хакерів, ймовірно, з підтримкою ШІ, стояла за недавнім інцидентом безпеки, який призвів до викриття деяких облікових даних клієнтів після порушення внутрішніх систем.
"Ми вважаємо, що атакуюча група є надзвичайно вишуканою, і я твердо переконаний, що їй значно допоміг ШІ", — написав у твіттері генеральний директор Гільєрмо Рауг, додавши, що зловмисники "діяли з дивовижною швидкістю та глибоким розумінням Vercel".
Компанія, яка є хмарною платформою для розробників, повідомила в неділю, що виявила несанкціонований доступ до певних внутрішніх систем і активно розслідує інцидент. Інцидент вплинув на обмежену кількість клієнтів, чиї облікові дані були скомпрометовані, що спонукало компанію рекомендувати негайно змінити облікові дані.
Порушення виникло внаслідок компрометації Context.ai, стороннього інструменту ШІ, який використовувався співробітником Vercel, що дозволило зловмисникам захопити обліковий запис Google Workspace співробітника та отримати доступ до деяких середовищ Vercel і нечутливих змінних середовища.
Розкриття інформації підкреслює зростаючу стурбованість щодо ризиків безпеки, створюваних сторонніми інтеграціями та інструментами на основі ШІ, оскільки зловмисники все частіше використовують вразливості ланцюга постачання для проникнення всередину організацій.
Vercel і криптовалюта
Наталі Ньюсон, старший дослідник безпеки блокчейну CertiK, повідомила Decrypt, що подія викликала терміновість серед криптовалютних розробників. "Оскільки багато криптовалютних інтерфейсів використовують Vercel для розміщення свого UI, порушення може дозволити зловмисникам встановити програму для викачування гаманців. Користувачі, які взаємодіють з надійною сторінкою, не очікуватимуть нічого зловмисного", — сказала вона, додавши, що "експлойти в криптопросторі можуть призвести до значних фінансових втрат".
Навіть якщо смарт-контракти залишаються захищеними, компрометація інтерфейсу все ще становить ризик. "Компрометація інтерфейсу може бути особливо шкідливою для кінцевих користувачів", — зазначила вона, вказуючи на інцидент CoW Swap у квітні, коли один користувач втратив $316 тис. зі свого гаманця.
Вона сказала, що зростаюча тенденція агентного ШІ призвела до того, що багато користувачів публікують останні програми та розширення для підвищення продуктивності, і зловмисники користуються цією тенденцією. "Компанії повинні бути особливо обережними при використанні нових програм і розширень ШІ, переглядаючи внутрішні моделі безпеки, щоб переконатися, що якщо порушення відбудеться, вплив залишиться якомога обмеженим", — сказала вона.
Рауг сказав, що атака розгорталася через "серію маневрів", починаючи зі скомпрометованого облікового запису співробітника та переростаючи в ширший доступ до внутрішніх середовищ. Хоча Vercel зберігає змінні середовища клієнтів у зашифрованому вигляді, компанія дозволяє позначати деякі змінні як нечутливі, до яких зловмисники змогли отримати доступ.
Компанія вважає, що кількість постраждалих клієнтів обмежена, і заявила, що зв'язалася з тими, хто потенційно постраждав, як пріоритет. З того часу Vercel розгорнула додаткові заходи моніторингу та захисту, а також переглядає свій ланцюг постачання, щоб забезпечити безпеку проектів, таких як Next.js і Turbopack.
Джон Вудс, генеральний директор Nillion, повідомив Decrypt, що "обмежена підмножина" зазвичай означає, що спостережуваний набір постраждалих клієнтів поки що виглядає обмеженим, але це не обов'язково виключає більш широкий внутрішній рух або ширший ризик для нижчих рівнів. "На сучасних хмарних платформах радіус ураження стосується не лише того, скільки клієнтів було видимо вражено спочатку, а й того, до чого могли дістатися скомпрометовані системи за лаштунками", — сказав Вудс.
Він рекомендував компаніям дотримуватися різноманітних найкращих практик, щоб уникнути подібних ситуацій. "Заблокуйте надання OAuth, використовуйте найменші привілеї, застосовуйте суворий контроль навколо чутливих змінних середовища, відокремлюйте розгортання інтерфейсу від секретних або підписних повноважень і уважно стежте за розгортаннями та журналами", — сказав він.
"Для всіх, чиї облікові дані могли бути викрадені, негайним пріоритетом є відкликання доступу, зміна облікових даних і перегляд кожної системи, до якої ці облікові дані могли отримати доступ", — додав він, зазначивши, що "на вищому рівні урок полягає в тому, щоб уникати архітектур, де одна компрометація може досягти занадто багато".
Поки не зрозуміло, хто стоїть за атакою. З'явилися скріншоти користувача з іменем хакерської групи "ShinyHunters", який стверджує на форумі, що зламав Vercel і продає доступ до даних компанії, включаючи вихідний код, ключі API та внутрішні системи.
Зловмисник, який також може видавати себе за ShinyHunters, також стверджував, що обговорював з компанією вимогу викупу в розмірі $2 млн. Vercel не відразу відповіла на запит підтвердити ці твердження.
Щоденна розсилка Daily Debrief
Починайте кожен день з головних новин прямо зараз, а також оригінальних матеріалів, подкастів, відео та багато іншого.
Джерело: https://decrypt.co/364869/highly-sophisticated-ai-powered-hackers-behind-vercel-breach-ceo
