Генеральный директор Vercel заявил, что недавний инцидент с безопасностью был осуществлен «высокосложной» хакерской группой, возможно, использующей искусственный интеллект, что привело к проникновению во внутренние системы и утечке некоторых клиентских учетных данных.
«Мы считаем, что атакующая организация крайне опытна, и я сильно подозреваю, что искусственный интеллект значительно ускорил их атаки», — сказал генеральный директор Гильермо Раух в Твиттере, добавив, что атакующие «действуют с поразительной скоростью и обладают глубокими знаниями о Vercel».
Компания является облачной платформой для разработчиков, сказала в воскресенье, что обнаружила несанкционированный доступ к некоторым внутренним системам и активно расследует инцидент. Инцидент затронул部分 клиентов, чьи учетные данные были скомпрометированы, поэтому компания рекомендует клиентам немедленно сменить учетные данные.
Эта уязвимость безопасности возникла из-за взлома стороннего инструмента ИИ Context.ai, используемого сотрудником Vercel; злоумышленники воспользовались этим инструментом, чтобы взять под свой контроль аккаунт этого сотрудника в Google Workspace и получить доступ к некоторым средам Vercel и нечувствительным переменным окружения.
Это раскрытие подчеркивает растущую обеспокоенность по поводу безопасности, связанной с сторонними интеграциями и инструментами искусственного интеллекта, поскольку злоумышленники все чаще используют уязвимости цепочки поставок для проникновения в организации.
Vercel и криптовалюта
Старший исследователь безопасности блокчейна в CertiK Наталья Ньюсон сказала Decrypt, что этот инцидент особенно привлек внимание разработчиков криптовалют: «Поскольку многие криптовалютные фронтенды используют Vercel для хостинга своих пользовательских интерфейсов, после взлома злоумышленники могут внедрить вредоносный код, предназначенный для кражи средств из кошельков. Пользователи, взаимодействующие с доверенными страницами, не ожидают никаких вредоносных действий», — добавила она, отметив, что уязвимости в криптовалютной сфере могут привести к крупным финансовым потерям
Даже если смарт-контракт сам по себе безопасен, атаки на фронтенд все равно представляют угрозу. «Атаки на фронтенд особенно вредны для конечных пользователей», — отметила она, подчеркнув это. Бычья биржа в апреле этого года столкнулась с инцидентом, когда кошельки пользователей были взломаны на сумму 316 000 долларов США.
Она сказала, что рост тренда 智能体人工智能 привел к тому, что многие пользователи публикуют последние приложения и расширения для повышения производительности труда, а злоумышленники также используют эту тенденцию. Она отметила: «Компаниям следует проявлять особую осторожность при использовании новых приложений и расширений на основе ИИ, а также пересматривать внутренние модели безопасности, чтобы минимизировать последствия даже в случае утечки данных».
Рох заявил, что атака была проведена «с помощью ряда методов»: сначала были скомпрометированы учетные записи сотрудников, затем произошло постепенное повышение привилегий, в результате чего злоумышленники получили больший доступ к внутренней среде. Хотя компания Vercel хранит переменные окружения клиентов с статическим шифрованием, она позволяет помечать некоторые переменные как нечувствительные, что позволило злоумышленникам получить доступ к этим переменным.
Компания считает, что количество затронутых клиентов ограничено, и сообщила, что уже связалась с клиентами, которые могли быть затронуты. Vercel затем внедрила дополнительные меры мониторинга и защиты, а также провела проверку своей цепочки поставок для обеспечения безопасности таких проектов, как Next.js и Turbopack.
Генеральный директор Nillion Джон Вудс сообщил Decrypt, что этот «ограниченный подмножество» обычно означает, что текущий набор затронутых клиентов кажется ограниченным, но это не исключает более широкого внутреннего распространения или более широких рисков на нижнем уровне. Вудс сказал: «В современных облачных платформах масштаб воздействия зависит не только от того, сколько клиентов явно затронуты изначально, но и от того, насколько далеко поврежденная система может проникать в фоновом режиме».
Он посоветовал компаниям следовать ряду лучших практик, чтобы избежать подобных ситуаций: «Укрепьте безопасность OAuth-авторизации, применяйте принцип минимальных прав, строго контролируйте чувствительные переменные среды, отделяйте развертывание фронтенда от ключей или прав подписи и тщательно отслеживайте развертывание и журналы».
Он добавил: «Для любого, чьи учетные данные могут быть скомпрометированы, приоритетной задачей является отмена доступа, смена учетных данных и проверка каждой системы, к которой эти учетные данные могут иметь доступ», отметив: «В более широком смысле урок заключается в том, чтобы избегать архитектур, при которых утечка одного компонента может затронуть слишком большую область».
В настоящее время неизвестно, кто спланировал эту атаку. Скриншот Пользователь хакерской группы под названием «ShinyHunters» заявил на форуме, что взломал Vercel и предлагает продать доступ к данным компании, включая исходный код, API-ключи и внутренние системы.
Актер (который, возможно, также выдает себя за ShinyHunters) утверждает, что обсуждал с компанией выкуп в размере 2 миллионов долларов США. Vercel пока не прокомментировал это.