O CEO da Vercel afirmou que um recente evento de segurança foi causado por um grupo de hackers “altamente complexo” e possivelmente assistido por inteligência artificial, que invadiu sistemas internos e comprometeu algumas credenciais de clientes.
“Achamos que o grupo de atacantes é muito sofisticado, e suspeito fortemente que a inteligência artificial acelerou enormemente seus ataques”, disse o CEO Guillermo Rauch no Twitter, acrescentando que os atacantes “agiram com velocidade impressionante e possuem um conhecimento profundo do Vercel”.
A empresa é uma plataforma em nuvem voltada para desenvolvedores, disse que no domingo descobriu que alguns sistemas internos foram acessados sem autorização e está investigando ativamente. O incidente afetou alguns clientes cujas credenciais foram comprometidas; por isso, a empresa recomenda que os clientes troquem imediatamente suas credenciais.
Esta vulnerabilidade de segurança surgiu porque uma ferramenta de IA de terceiros, Context.ai, usada por um funcionário da Vercel, foi comprometida; os atacantes utilizaram essa ferramenta para assumir a conta do funcionário no Google Workspace e obter acesso a certos ambientes da Vercel e variáveis de ambiente não sensíveis.
Esta divulgação destaca a crescente preocupação com os riscos de segurança trazidos por integrações de terceiros e ferramentas de inteligência artificial, já que os atacantes estão cada vez mais explorando vulnerabilidades na cadeia de suprimentos para penetrar nas organizações.
Vercel e criptomoedas
A pesquisadora sênior de segurança blockchain da CertiK, Natalie Newsome, disse ao Decrypt que o incidente chamou especialmente a atenção dos desenvolvedores de criptomoedas. “Como muitas interfaces de criptomoedas usam o Vercel para hospedar suas interfaces de usuário, uma vez comprometidas, os atacantes podem implantar programas maliciosos para roubar fundos das carteiras. Usuários interagindo com páginas confiáveis não esperam qualquer comportamento malicioso”, ela disse, acrescentando que “vulnerabilidades no espaço de criptomoedas podem levar a...” grandes perdas financeiras
Mesmo que contratos inteligentes o sistema ainda seja seguro, invasões front-end ainda representam riscos. “Invasões front-end são particularmente prejudiciais aos usuários finais”, ela observou, enfatizando esse ponto. 牛交换 sofreu um incidente em abril deste ano, no qual carteiras de usuários foram roubadas de US$ 316.000.
Ela disse que a tendência de alta agente de inteligência artificial levou muitos usuários a publicar os últimos aplicativos e extensões para aumentar a eficiência, enquanto agentes maliciosos também estão aproveitando essa tendência. Ela afirmou: “As empresas devem ser especialmente cautelosas ao usar novos aplicativos e extensões de inteligência artificial, além de revisar seus modelos de segurança internos para garantir que, mesmo em caso de violação de segurança, o impacto seja minimizado.”
Rauh afirmou que o ataque foi realizado por meio de “uma série de técnicas”, começando com a compromissão de contas de funcionários, seguido por escalonamento progressivo, resultando finalmente em maior acesso ao ambiente interno. Embora a Vercel armazene variáveis de ambiente dos clientes criptografadas estáticas, a empresa permite marcar algumas variáveis como não sensíveis, permitindo que os atacantes acessem essas variáveis.
A empresa considera que o número de clientes afetados é limitado e afirmou que entrou em contato prioritariamente com os clientes que possam ter sido impactados. A Vercel implementou posteriormente medidas adicionais de monitoramento e proteção, além de revisar sua cadeia de suprimentos para garantir a segurança de projetos como Next.js e Turbopack.
O CEO da Nillion, John Woods, disse ao Decrypt que esse “subconjunto limitado” geralmente significa que o grupo de clientes afetados observado atualmente parece limitado, mas isso não exclui necessariamente uma disseminação interna mais ampla ou riscos a jusante mais amplos. Woods afirmou: “Em plataformas de nuvem modernas, o alcance do impacto não depende apenas de quantos clientes inicialmente parecem afetados, mas também do alcance que o sistema comprometido pode ter nos bastidores.”
Ele sugeriu que as empresas sigam uma série de práticas recomendadas para evitar esse tipo de situação. “Fortaleça a segurança da autorização OAuth, adote o princípio de menor privilégio, implemente controle rigoroso sobre variáveis de ambiente sensíveis, separe a implantação frontal das permissões de chaves ou assinaturas, e monitore de perto as implantações e logs.” ele disse.
“Para qualquer pessoa cujas credenciais possam ter sido comprometidas, a prioridade é revogar o acesso, rotacionar as credenciais e revisar cada sistema que essas credenciais possam ter acessado,” ele acrescentou, observando que, “em um nível mais amplo, a lição é evitar arquiteturas em que uma única violação possa ter um impacto excessivamente amplo.”
Ainda não está claro quem planejou o ataque. Screen captures Um usuário do fórum da organização de hackers chamada “ShinyHunters” afirmou ter invadido a Vercel e estar vendendo acesso aos dados da empresa, incluindo código-fonte, chaves de API e sistemas internos.
O ator (que também pode estar se passando por ShinyHunters) afirmou ter discutido com a empresa um resgate de US$ 2 milhões. A Vercel ainda não comentou sobre o assunto.