Vercel a publié une analyse de l'incident de sécurité, indiquant que certains de ses systèmes internes ont été accessibles sans autorisation, en raison de la compromission d'un outil tiers utilisé par un employé, Context.ai. Les attaquants ont ainsi pris le contrôle du compte Google Workspace de cet employé et accédé à certaines données de configuration d'environnement. L'impact initial concerne un petit nombre de variables d'environnement non marquées comme « sensibles » (telles que des clés API, des jetons, etc.) qui pourraient avoir été exposées ; les utilisateurs concernés ont été notifiés et encouragés à renouveler immédiatement leurs identifiants. À ce jour, aucune preuve ne suggère que les données marquées comme « sensibles » ou la chaîne d'approvisionnement (par exemple, les paquets npm) aient été modifiées. Vercel a indiqué que les attaquants possédaient un haut niveau de compétence technique, et a collaboré avec Mandiant ainsi que plusieurs organismes de sécurité pour mener une enquête, tout en déposant une plainte auprès des autorités compétentes. L'entreprise a également souligné que ses services plateforme continuent de fonctionner normalement. Elle recommande aux utilisateurs d'activer l'authentification à deux facteurs, de renouveler intégralement les variables d'environnement potentiellement compromises, et de vérifier les journaux d'activité des comptes ainsi que les historiques de déploiement afin de prévenir tout risque supplémentaire.
Vercel signale un accès non autorisé via un outil IA compromis, aucune donnée sensible n'a été affectée
TechFlowPartager
Résumé
Vercel a signalé un accès non autorisé via un outil d'IA compromis, Context.ai, utilisé par un employé. Les attaquants ont accédé à des données d'environnement non sensibles, y compris des clés API et des jetons. Aucune donnée sensible ni paquets npm n'ont été affectés. L'entreprise a conseillé aux utilisateurs de renouveler leurs identifiants et d'activer l'authentification à deux facteurs. Vercel collabore avec Mandiant et les autorités judiciaires pour mener l'enquête. Dans les actualités sur l'IA et la crypto, cet incident souligne la nécessité de renforcer la sécurité dans les flux de développement. Les utilisateurs sont invités à examiner leurs activités de compte et les journaux de déploiement. Les données sur l'inflation restent une préoccupation distincte pour le moment.
Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations.
Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.