Ipinahayag ng Vercel ang pagsusuri sa security incident, na ang ilang mga panloob na sistema ay na-access nang walang pahintulot dahil sa pagbuwis ng isang third-party AI tool na Context.ai na ginamit ng isang empleyado, kung saan ang mga attacker ay nakakuha ng kontrol sa kanilang Google Workspace account at nakakontak sa ilang data ng environment configuration. Ang unang epekto ay ang posibleng paglalabas ng kaunting environment variables ng mga customer na hindi nakalabel bilang “sensitive” (tulad ng API Key, Token, atbp.), at naabot na ang mga kaugnay na user at inirerekomenda ang agad na pagbabago ng credentials. Sa kasalukuyan, wala pang ebidensya na ang mga data na nakalabel bilang “sensitive” o ang supply chain (tulad ng npm packages) ay na-modify. Sinabi ng Vercel na may mataas na antas ng teknikal na kasanayan ang mga attacker, at kasama na nila ang Mandiant at iba pang security organizations sa pagsisiyasat, at nareport na rin sa mga awtoridad. Pinapahalagahan din nila na patuloy ang normal na pagpapatakbo ng platform. Ibinigay din nila ang rekomendasyon na i-enable ang multi-factor authentication, buong pagbabago ng mga environment variables na posibleng nalabasan, at pagsusuri sa account activity logs at deployment records upang maiwasan ang karagdagang panganib.
Ibinigay ng Vercel ang ulat tungkol sa hindi pinahintulutang pag-access sa pamamagitan ng kompromisong AI tool, walang sensitibong data ang naapektuhan
TechFlowI-share
Summary
Ibinigay ng Vercel na mayroong hindi pinahintulutang pag-access sa pamamagitan ng isang napapalitan na AI tool, ang Context.ai, na ginamit ng isang empleyado. Nakapasok ang mga attacker sa data ng non-sensitive environment, kabilang ang mga API key at tokens. Hindi naapektuhan ang anumang sensitibong data o npm packages. Inabot ng kumpanya ang mga user na palitan ang kanilang credentials at paganahin ang multi-factor authentication. Gumagawa ang Vercel kasama ang Mandiant at ang law enforcement upang imbestigahan. Sa AI + crypto news, ipinakikita ng insidente ang pangangailangan ng mas mahigpit na seguridad sa mga development workflow. Inihikayat ang mga user na suriin ang kanilang account activity at deployment logs. Ang inflation data ay nananatiling hiwalay na problema sa kasalukuyan.
Source:Ipakita ang original
Disclaimer: Ang information sa page na ito ay maaaring nakuha mula sa mga third party at hindi necessary na nagre-reflect sa mga pananaw o opinyon ng KuCoin. Ibinigay ang content na ito para sa mga pangkalahatang informational purpose lang, nang walang anumang representation o warranty ng anumang uri, at hindi rin ito dapat ipakahulugan bilang financial o investment advice. Hindi mananagot ang KuCoin para sa anumang error o omission, o para sa anumang outcome na magreresulta mula sa paggamit ng information na ito.
Maaaring maging risky ang mga investment sa mga digital asset. Pakisuri nang maigi ang mga risk ng isang produkto at ang risk tolerance mo batay sa iyong sariling kalagayang pinansyal. Para sa higit pang information, mag-refer sa aming Terms ng Paggamit at Disclosure ng Risk.