Le PDG de Vercel a déclaré qu'un récent incident de sécurité avait été commis par un groupe de pirates « hautement complexe » et potentiellement aidé par l'intelligence artificielle, ayant entraîné une intrusion dans les systèmes internes et la fuite de certaines informations d'identification clients.
« Nous pensons que l'organisation à l'origine de l'attaque est très expérimentée, et je soupçonne fortement que l'intelligence artificielle a considérablement accéléré leurs attaques », a déclaré le PDG Guillermo Rauch sur Twitter, ajoutant que les attaquants « agissent avec une vitesse incroyable et possèdent une connaissance approfondie de Vercel ».
L'entreprise est une plateforme cloud destinée aux développeurs, dit qu'elle a constaté dimanche un accès non autorisé à certains de ses systèmes internes et mène actuellement une enquête. Cet incident a affecté certains clients dont les identifiants ont été compromis ; l'entreprise recommande donc aux clients de changer immédiatement leurs identifiants.
Cette faille de sécurité provient de la compromission d'un outil tiers, Context.ai, utilisé par un employé de Vercel ; les attaquants ont exploité cet outil pour prendre le contrôle du compte Google Workspace de cet employé et obtenir l'accès à certains environnements Vercel et à des variables d'environnement non sensibles.
Cette divulgation met en lumière une préoccupation croissante concernant les risques sécuritaires posés par les intégrations tierces et les outils d'intelligence artificielle, les attaquants exploitant de plus en plus les vulnérabilités de la chaîne d'approvisionnement pour pénétrer au sein des organisations.
Vercel et les cryptomonnaies
Natalie Newson, chercheuse senior en sécurité blockchain chez CertiK, a déclaré à Decrypt que cet événement a particulièrement attiré l'attention des développeurs de cryptomonnaies. « De nombreux frontaux de cryptomonnaies utilisent Vercel pour héberger leurs interfaces utilisateur ; une fois compromis, les attaquants peuvent y intégrer des programmes malveillants destinés à voler les fonds des portefeuilles. Les utilisateurs interagissant avec des pages réputées fiables ne s'attendent pas à des comportements malveillants », a-t-elle ajouté, précisant que les vulnérabilités dans le domaine des cryptomonnaies peuvent entraîner... des pertes financières importantes
Même si les contrats intelligents restent sécurisés, les intrusions frontales représentent toujours un risque. « Les intrusions frontales sont particulièrement préjudiciables pour les utilisateurs finaux », a-t-elle souligné. 牛交换 a subi en avril une violation où des portefeuilles d'utilisateurs ont été dérobés pour un montant de 316 000 dollars américains.
Elle a déclaré que la tendance à la hausse agent d'intelligence artificielle a conduit de nombreux utilisateurs à publier les dernières applications et extensions pour améliorer leur productivité, tandis que les acteurs malveillants exploitent également cette tendance. Elle a déclaré : « Les entreprises doivent faire preuve de grande prudence lors de l'utilisation de nouvelles applications et extensions d'intelligence artificielle, tout en examinant leurs modèles de sécurité internes pour s'assurer que, même en cas de violation de sécurité, leur impact soit minimisé. »
Rauh a déclaré que l'attaque a été menée « par une série de méthodes », commençant par le vol de comptes d'employés, puis s'élevant progressivement jusqu'à obtenir un accès accru à l'environnement interne. Bien que Vercel stocke les variables d'environnement des clients avec un chiffrement statique, l'entreprise permet de marquer certaines variables comme non sensibles, ce qui a permis aux attaquants d'y accéder.
L'entreprise estime que le nombre de clients affectés est limité et indique qu'elle a priorisé la communication avec les clients susceptibles d'être concernés. Vercel a ensuite déployé des mesures supplémentaires de surveillance et de protection, tout en examinant sa chaîne d'approvisionnement pour garantir la sécurité de projets tels que Next.js et Turbopack.
Le PDG de Nillion, John Woods, a déclaré à Decrypt que ce « sous-ensemble limité » signifie généralement que le groupe de clients affectés observé jusqu'à présent semble restreint, mais cela n'exclut pas nécessairement une diffusion plus large au sein de l'entreprise ou des risques aval plus étendus. Woods a déclaré : « Sur les plateformes cloud modernes, l'étendue de l'impact ne dépend pas seulement du nombre initial de clients visiblement affectés, mais aussi de la portée que le système compromis peut atteindre en arrière-plan. »
Il a recommandé aux entreprises de suivre une série de meilleures pratiques pour éviter ce type de situation. « Renforcez la sécurité des autorisations OAuth, appliquez le principe du moindre privilège, mettez en place un contrôle strict sur les variables d’environnement sensibles, séparez le déploiement frontend des clés ou des autorisations de signature, et surveillez étroitement les déploiements et les journaux. » a-t-il déclaré.
« Pour toute personne dont les identifiants pourraient avoir été volés, il est essentiel de révoquer les accès, de renouveler les identifiants et d'examiner chaque système que ces identifiants pourraient avoir touchés », a-t-il ajouté, soulignant que « d'un point de vue plus global, la leçon consiste à éviter les architectures où une seule violation pourrait avoir un impact trop vaste. »
Il n'est pas encore clair qui a organisé cette attaque.Capture d'écran Un utilisateur de l'organisation de pirates appelée « ShinyHunters » a affirmé sur un forum avoir compromis Vercel et vendre l'accès aux données de l'entreprise, y compris le code source, les clés API et les systèmes internes.
L'acteur (qui pourrait également se faire passer pour ShinyHunters) affirme avoir discuté d'une demande de rançon de 2 millions de dollars avec l'entreprise. Vercel n'a pas encore commenté.