Mengikut berita CoinDesk, pada 21 April (UTC+8), menurut pemantauan Beating, akaun rasmi Vercel mengumumkan pada pagi 21 April bahawa selepas bekerjasama dengan GitHub, Microsoft, npm, dan Socket untuk menyiasat, tiada pakej yang diterbitkan oleh Vercel di npm telah dimanipulasi, dan rantaian bekalan "masih selamat". Vercel menguruskan perpustakaan open-source seperti Next.js, Turbopack, dan SWR di npm, dengan jumlah muat turun bulanan berbilion kali; jika penyerang menggunakan akaun pekerja untuk meracuni, kesanannya akan jauh melebihi pelanggan Vercel sendiri. Penyiasatan ini mengesahkan salah satu risiko sampingan terbesar dalam insiden ini. Pada hari yang sama, pengumuman keselamatan rasmi telah dikemaskini dengan tiga butiran tambahan. Lingkungan kesan pertama kali dinyatakan hingga peringkat medan. Pengumuman tersebut menyatakan bahawa pemboleh ubah persekitaran pelanggan yang bocor ialah yang tidak ditandakan sebagai "sensitif", yang disimpan dalam bentuk teks biasa selepas dinyahsulit di latar belakang. Vercel masih menyiasat sama ada data tambahan telah diambil. Saran kepada pelanggan juga ditambah dengan satu perkara: "Menghapus projek atau akaun Vercel tidak akan menghilangkan risiko." Sebelum mengambil tindakan penghapusan, semua kunci yang tidak ditandakan sebagai sensitif mesti diganti terlebih dahulu, kerana kredensial yang diperoleh penyerang masih boleh terus menghubungkan sistem pengeluaran. Di sisi produk, nilai lalai telah diubah. Pemboleh ubah baharu kini secara lalai ditandakan sebagai "sensitif" (sensitive: on). Bagi akaun lama, pemboleh ubah baharu sebelum ini secara lalai adalah jenis biasa, dan pengguna mesti memilih secara manual untuk mengaktifkan status sensitif — inilah saluran langsung yang digunakan penyerang untuk membaca pemboleh ubah teks biasa. Dashboard juga melancarkan antaramuka log aktiviti yang lebih terperinci dan pengurusan pemboleh ubah persekitaran peringkat pasukan; semua cadangan keselamatan "mengaktifkan pengesahan dua faktor" kini diletakkan di tempat teratas.
Kemas kini insiden keselamatan Vercel: Tiada paket npm yang diubah, pemboleh ubah persekitaran baharu secara lalai bersifat sensitif
币界网Kongsi
Ringkasan
Vercel mengesahkan tiada pakej npm yang diragut selepas kejadian keselamatan. Insiden ini mendedahkan pemboleh ubah persekitaran bukan sensitif yang disimpan dalam teks biasa. Vercel kini menetapkan pemboleh ubah baharu sebagai 'sensitif' secara lalai untuk mencegah isu serupa. Butiran kejadian keselamatan menunjukkan tiada kompromi rantai bekalan. Syarikat menasihatkan untuk memutar semula kunci bukan sensitif sebelum memadam projek. Senarai token baharu tidak terjejas oleh insiden ini. Vercel telah mengemas kini garis panduan keselamatannya bekerjasama dengan GitHub, Microsoft, npm, dan Socket.
Sumber:Tunjukkan artikel asal
Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini.
Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.