Pengarah eksekutif Vercel menyatakan bahawa insiden keselamatan terkini dilakukan oleh organisasi perompak yang “sangat kompleks” dan mungkin menggunakan kecerdasan buatan, yang menyebabkan sistem dalaman disusupi dan beberapa maklumat pelanggan bocor.
“Kami percaya bahawa organisasi serangan ini sangat mahir, dan saya sangat meragukan bahawa kecerdasan buatan sangat mempercepat serangan mereka,” kata CEO Guillermo Rauch di Twitter, menambahkan bahawa penyerang “bergerak dengan kelajuan yang menakjubkan dan mempunyai pemahaman mendalam terhadap Vercel”.
Perusahaan ini adalah platform awan yang berfokus kepada pembangun, berkata pada hari Ahad bahawa perusahaan mendapati sebahagian sistem dalaman telah diakses tanpa kebenaran dan sedang menyiasat secara aktif. Kejadian ini mempengaruhi sebahagian pelanggan yang kredensialnya bocor, oleh itu perusahaan menyarankan pelanggan untuk segera menukar kredensial mereka.
Lubang keselamatan ini berasal daripada alat AI pihak ketiga Context.ai yang digunakan oleh seorang pekerja Vercel yang telah diserang, di mana penyerang memanfaatkan alat tersebut untuk mengambil alih akaun Google Workspace pekerja tersebut dan mendapat akses kepada beberapa persekitaran Vercel dan pemboleh ubah persekitaran bukan sensitif.
Pengungkapan ini menonjolkan keprihatinan yang semakin meningkat terhadap risiko keselamatan yang dibawa oleh integrasi pihak ketiga dan alat kecerdasan buatan, kerana penyerang semakin sering memanfaatkan lubang rantai bekalan untuk menembusi organisasi.
Vercel dan kripto
Penyelidik keselamatan blockchain tingkat tinggi dari CertiK, Natalie Newson, memberitahu Decrypted bahawa insiden ini khususnya menarik perhatian pembangun kripto. "Kerana banyak antaramuka pengguna kripto dihoskan menggunakan Vercel, apabila diserang, penyerang boleh memasang program jahat untuk mencuri dana dompet. Pengguna yang berinteraksi dengan laman web yang dipercayai tidak akan menganggap ada sebarang tindakan jahat," katanya, dan menambah, "Lubang keamanan dalam bidang kripto boleh menyebabkan... kerugian kewangan besar"
Walaupun kontrak pintar sistem masih selamat, serangan antara muka masih menimbulkan risiko. “Serangan antara muka sangat merbahaya kepada pengguna akhir,” katanya, menekankan perkara ini. Naik Exchange mengalami kejadian pada April tahun ini di mana dompet pengguna dicuri sebanyak US$316,000.
Dia mengatakan bahawa tren naik agente kecerdasan buatan menyebabkan banyak pengguna mempublikasikan aplikasi dan ekstensi terkini untuk meningkatkan kecekapan kerja, sementara pelaku jahat juga memanfaatkan tren ini. Dia berkata: “Perusahaan harus sangat berhati-hati ketika menggunakan aplikasi dan ekstensi kecerdasan buatan baru, serta meninjau model keselamatan dalaman mereka untuk memastikan bahawa kesan sekiranya berlaku kebocoran keselamatan dapat diminimumkan.”
Lau menyatakan bahawa serangan ini dilakukan melalui "siri tindakan", bermula dengan kompromi akaun pekerja, kemudian dinaikkan tahapnya secara berperingkat sehingga mendapat akses yang lebih besar terhadap persekitaran dalaman. Walaupun Vercel menyimpan pemboleh ubah pelanggan secara disulitkan secara statik, syarikat tersebut membenarkan sebahagian pemboleh ubah ditandai sebagai bukan sensitif, membolehkan penyerang mengakses pemboleh ubah tersebut.
Syarikat tersebut percaya bahawa bilangan pelanggan yang terkesan adalah terhad, dan telah menghubungi pelanggan yang mungkin terkesan terlebih dahulu. Vercel kemudian melaksanakan langkah-langkah pemantauan dan perlindungan tambahan, sambil mengkaji rantaian bekalannya untuk memastikan keselamatan projek seperti Next.js dan Turbopack.
Chief Executive Officer Nillion, John Woods, mengatakan kepada Decrypted bahawa "subset terhad" ini biasanya bermaksud bahawa kumpulan pelanggan yang terkesan yang diperhatikan semasa ini kelihatan terhad, tetapi ini tidak secara pasti mengecualikan penyebaran dalaman yang lebih luas atau risiko hulu yang lebih luas. Woods berkata: "Di platform awan moden, lingkungan kesan tidak hanya bergantung pada berapa ramai pelanggan awal yang jelas terkesan, tetapi juga pada sejauh mana sistem yang rosak boleh mencapai di latar belakang."
Dia menyarankan agar perusahaan mengikuti serangkaian praktik terbaik untuk menghindari kejadian semacam ini. “Kuatkan keselamatan pengesahan OAuth, gunakan prinsip kuasa minimum, laksanakan kawalan ketat terhadap pemboleh ubah persekitaran sensitif, pisahkan penghantaran antara muka depan dengan kebenaran kunci atau tanda tangan, serta pantau penghantaran dan log dengan rapat,” katanya.
“Bagi mana-mana individu yang mungkin mengalami pencurian kredensial, tindakan segera ialah mencabut akses, mengganti kredensial, dan mengkaji setiap sistem yang mungkin dapat diakses oleh kredensial tersebut,” tambahnya, sambil menekankan, “Dari sudut yang lebih luas, pelajaran yang boleh diambil ialah mengelakkan penggunaan arsitektur yang apabila bocor sekali sahaja, kesannya boleh meluas secara besar-besaran.”
Masih tidak jelas siapa yang merancang serangan ini.Screenshot Seorang pengguna organisasi peretas bernama “ShinyHunters” di forum mengklaim telah membobol Vercel dan sedang menjual akses ke data perusahaan, termasuk kod sumber, kunci API, dan sistem dalaman.
Pelakon ini (yang mungkin juga menyamar sebagai ShinyHunters) mengklaim pernah berbincang dengan syarikat tersebut mengenai tuntutan tebusan sebanyak $2 juta. Vercel belum memberikan komen apa-apa.