CEO Vercel menyatakan bahwa insiden keamanan terbaru dilakukan oleh kelompok peretas yang "sangat kompleks" dan kemungkinan memanfaatkan kecerdasan buatan, yang menyebabkan sistem internal disusupi dan sejumlah kredensial pelanggan bocor.
“Kami percaya kelompok penyerang sangat terampil, dan saya sangat meragukan bahwa kecerdasan buatan sangat mempercepat serangan mereka,” kata CEO Guillermo Rauch di Twitter, menambahkan bahwa para penyerang “beroperasi dengan kecepatan luar biasa dan memiliki pemahaman mendalam tentang Vercel”.
Perusahaan ini adalah platform cloud yang berfokus pada pengembang, mengatakan pada hari Minggu bahwa perusahaan menemukan sebagian sistem internal telah diakses tanpa otorisasi dan sedang melakukan penyelidikan aktif. Insiden ini memengaruhi sebagian pelanggan, di mana kredensial mereka bocor, sehingga perusahaan menyarankan pelanggan untuk segera mengganti kredensial mereka.
Kerentanan keamanan ini berasal dari alat AI pihak ketiga Context.ai yang digunakan oleh seorang karyawan Vercel yang disusupi, di mana penyerang memanfaatkan alat tersebut untuk mengambil alih akun Google Workspace karyawan tersebut dan mendapatkan akses ke beberapa lingkungan Vercel serta variabel lingkungan yang tidak sensitif.
Pengungkapan ini menyoroti meningkatnya kekhawatiran terhadap risiko keamanan yang ditimbulkan oleh integrasi pihak ketiga dan alat kecerdasan buatan, karena penyerang semakin sering memanfaatkan kerentanan rantai pasokan untuk menembus organisasi.
Vercel dan cryptocurrency
Natalie Newson, peneliti keamanan blockchain tingkat tinggi dari CertiK, mengatakan kepada Decrypted bahwa insiden ini secara khusus menarik perhatian para pengembang kripto. "Karena banyak antarmuka pengguna kripto di-hosting menggunakan Vercel, setelah diserang, penyerang dapat menyisipkan program jahat untuk mencuri dana dompet. Pengguna yang berinteraksi dengan halaman tepercaya tidak akan mengantisipasi adanya perilaku jahat," ujarnya, menambahkan, "kerentanan di bidang kripto dapat menyebabkan... kerugian finansial besar"
Meskipun kontrak pintar tetap aman, serangan pada frontend tetap menjadi risiko. “Serangan frontend sangat berbahaya bagi pengguna akhir,” katanya, menekankan hal ini. Exchange Banteng mengalami kejadian pada April tahun ini di mana dompet pengguna dicuri sebesar $316.000.
Dia mengatakan bahwa tren naik agen AI menyebabkan banyak pengguna mempublikasikan aplikasi dan ekstensi terbaru untuk meningkatkan efisiensi kerja, sementara pelaku jahat juga memanfaatkan tren ini. Dia berkata: “Perusahaan harus sangat berhati-hati saat menggunakan aplikasi dan ekstensi AI baru, sekaligus meninjau model keamanan internal untuk memastikan bahwa dampaknya diminimalkan bahkan jika terjadi pelanggaran keamanan.”
Rauh menyatakan bahwa serangan ini dilakukan melalui "serangkaian metode", dimulai dengan pencurian akun karyawan, kemudian meningkat secara bertahap, hingga akhirnya mendapatkan akses yang lebih besar ke lingkungan internal. Meskipun Vercel menyimpan variabel lingkungan pelanggan dengan enkripsi statis, perusahaan tersebut mengizinkan sebagian variabel ditandai sebagai non-sensitif, memungkinkan penyerang mengakses variabel-variabel tersebut.
Perusahaan tersebut percaya bahwa jumlah pelanggan yang terdampak terbatas dan menyatakan telah menghubungi terlebih dahulu pelanggan yang kemungkinan terpengaruh. Vercel kemudian menerapkan langkah-langkah pemantauan dan perlindungan tambahan, sekaligus meninjau rantai pasokannya untuk memastikan keamanan proyek-proyek seperti Next.js dan Turbopack.
CEO Nillion, John Woods, mengatakan kepada Decrypted bahwa "subset terbatas" ini biasanya berarti bahwa kelompok pelanggan yang terdampak yang saat ini teramati tampaknya terbatas, tetapi hal ini tidak secara otomatis mengecualikan penyebaran internal yang lebih luas atau risiko turunan yang lebih luas. Woods mengatakan: "Di platform cloud modern, cakupan dampak tidak hanya bergantung pada berapa banyak pelanggan awal yang jelas terdampak, tetapi juga pada sejauh mana sistem yang rusak dapat mencapai di latar belakang."
Dia menyarankan perusahaan untuk mengikuti serangkaian praktik terbaik untuk menghindari situasi semacam ini. “Perkuat keamanan otorisasi OAuth, terapkan prinsip hak akses minimum, terapkan kontrol ketat terhadap variabel lingkungan sensitif, pisahkan penyebaran frontend dari kunci atau izin tanda tangan, dan pantau penyebaran serta log secara ketat,” katanya.
“Bagi siapa pun yang mungkin mengalami pencurian kredensial, prioritas utama adalah mencabut akses, mengganti kredensial, dan meninjau setiap sistem yang mungkin dapat diakses oleh kredensial tersebut,” tambahnya, menunjukkan bahwa “dari perspektif yang lebih luas, pelajarannya adalah menghindari arsitektur yang jika terjadi kebocoran satu kali dapat berdampak terlalu luas.”
Belum jelas siapa yang merencanakan serangan ini. Screen capture Seorang pengguna organisasi peretas bernama “ShinyHunters” di forum mengklaim telah membobol Vercel dan sedang menjual akses ke data perusahaan, termasuk kode sumber, kunci API, dan sistem internal.
Aktor ini (yang mungkin juga berpura-pura menjadi ShinyHunters) menyatakan pernah berdiskusi dengan perusahaan mengenai permintaan tebusan sebesar $2 juta. Vercel belum memberikan komentar.