A Vercel divulgou uma análise do incidente de segurança, afirmando que alguns de seus sistemas internos foram acessados sem autorização, devido à comprometimento de uma ferramenta de IA de terceiros, Context.ai, usada por um funcionário. Os atacantes aproveitaram isso para assumir o controle da conta do Google Workspace do funcionário e acessar dados de configuração parciais do ambiente. O impacto inicial foi a possível exposição de variáveis de ambiente de alguns clientes que não foram marcadas como "sensíveis" (como chaves API, tokens, etc.). Os usuários envolvidos já foram notificados e orientados a rotacionar imediatamente suas credenciais. Até o momento, não há evidências de que dados marcados como "sensíveis" ou a cadeia de suprimentos (como pacotes npm) tenham sido alterados. A Vercel afirmou que os atacantes possuem alto nível técnico e já se uniu à Mandiant e a várias agências de segurança para investigar o caso, além de ter notificado as autoridades policiais. Ao mesmo tempo, enfatizou que os serviços da plataforma continuam operando normalmente. Recomenda-se aos usuários ativar a autenticação multifator, rotacionar completamente as variáveis de ambiente potencialmente comprometidas e verificar os logs de atividade da conta e os registros de implantação para evitar riscos adicionais.
Vercel relata acesso não autorizado por meio de ferramenta de IA comprometida, sem dados sensíveis afetados
TechFlowCompartilhar
Resumo
A Vercel relatou acesso não autorizado por meio de uma ferramenta de IA comprometida, a Context.ai, utilizada por um funcionário. Os atacantes acessaram dados do ambiente não sensíveis, incluindo chaves API e tokens. Nenhum dado sensível ou pacotes npm foram afetados. A empresa aconselhou os usuários a trocar credenciais e ativar autenticação multifator. A Vercel está trabalhando com a Mandiant e as autoridades policiais para investigar. Na notícia de IA + cripto, o incidente destaca a necessidade de segurança mais rigorosa nos fluxos de desenvolvimento. Os usuários são encorajados a revisar a atividade da conta e os logs de implantação. Os dados de inflação permanecem uma preocupação separada por enquanto.
Fonte:Mostrar original
Aviso legal: as informações nesta página podem ter sido obtidas de terceiros e não refletem necessariamente os pontos de vista ou opiniões da KuCoin. Este conteúdo é fornecido apenas para fins informativos gerais, sem qualquer representação ou garantia de qualquer tipo, nem deve ser interpretado como aconselhamento financeiro ou de investimento. A KuCoin não é responsável por quaisquer erros ou omissões, ou por quaisquer resultados do uso destas informações.
Os investimentos em ativos digitais podem ser arriscados. Avalie cuidadosamente os riscos de um produto e a sua tolerância ao risco com base nas suas próprias circunstâncias financeiras. Para mais informações, consulte nossos termos de uso e divulgação de risco.