ورسل کے سی ای او نے کہا کہ حالیہ سیکیورٹی واقعہ ایک “بہت پیچیدہ” اور شاید آرٹیفیشل انٹیلی جنس کا استعمال کرنے والا ہیکر گروپ کی طرف سے کیا گیا تھا، جس کی وجہ سے اندر کے سسٹم متاثر ہوئے اور کچھ صارفین کے حسابات کی تفصیلات لیک ہو گئیں۔
ہم سمجھتے ہیں کہ حملہ آور گروہ بہت ماہر ہے، اور میں شدید شک کے ساتھ کہتا ہوں کہ صنعتی ذہانت نے ان کے حملوں کو بہت تیز کر دیا ہے،" سی ای او گیلیرمو راؤچ نے ٹویٹر پر کہا اور مزید کہا کہ حملہ آور "حیرت انگیز تیزی سے کام کرتے ہیں اور ورسل کے بارے میں گہری سمجھ رکھتے ہیں"۔
یہ کمپنی ڈویلپرز کے لیے ایک کلاؤڈ پلیٹ فارم ہے، نے اتوار کو کہا کہ اس نے کچھ اندر کے سسٹمز تک غیر اختیاری رسائی کا پتہ چلایا ہے اور اس پر فعال طور پر تحقیق جاری ہے۔ اس واقعہ سے کچھ صارفین متاثر ہوئے ہیں جن کے اعتماد کی تفصیلات لوٹ لی گئیں، اس لیے کمپنی نے صارفین کو فوراً اعتماد کی تفصیلات بدلنے کی تجویز کی ہے۔
یہ سیکورٹی خرابی Vercel کے ایک ملازم کے استعمال کی جانے والی تیسری طرف کی AI ٹول Context.ai کے ہیک ہونے کی وجہ سے پیدا ہوئی، جس کے ذریعے حملہ آور نے اس ملازم کا Google Workspace اکاؤنٹ ہیک کر لیا اور کچھ Vercel ماحول اور غیر حساس ماحولیاتی متغیرات تک رسائی حاصل کی۔
یہ افشا دوسری طرف کے اندراجات اور صنعتی ٹولز کے ذریعے ممکنہ سیکورٹی خطرات کے بارے میں بڑھتی ہوئی فکر کو ظاہر کرتا ہے، کیونکہ حملہ آور اب زیادہ تر سپلائی چین کے خامیوں کا فائدہ اٹھا کر تنظیموں میں گھس رہے ہیں۔
ورسل اور کرپٹو کرنسی
سیرتیک کے سینئر بلاکچین سیکیورٹی ریسرچر ناتلی نیوسن نے ڈیکرپٹ کو بتایا کہ اس واقعہ نے کرپٹوکرنسی ڈویلپرز کو خاص طور پر توجہ دلائی ہے۔ "کیونکہ کرپٹوکرنسی کے بہت سے فرینٹ اینڈ Vercel کا استعمال کرتے ہیں اپنے صارف انٹرفیس کو ہوسٹ کرنے کے لیے، اگر ان پر حملہ ہو جائے تو حملہ آور مالیاتی ویلٹس کو چھیننے والے برے پروگرامز ڈال سکتے ہیں۔ قابل اعتماد صفحات کے ساتھ تعامل کرنے والے صارفین کو کوئی برائی کا خیال نہیں ہوتا،" وہ نے کہا، اور مزید کہا، "کرپٹوکرنسی کے شعبے میں خرابیاں ……بڑے مالی نقصان کا باعث بنتی ہیں"
حتی کہ سمارٹ کنٹریکٹ سسٹم کے محفوظ رہنے کے باوجود، فرانت اینڈ حملہ ایک خطرہ بناتا ہے۔ "فرانت اینڈ حملہ صارفین کے لیے خاص طور پر نقصان دہ ہوتا ہے،" وہ نے اشارہ کیا اور اس بات پر زور دیا۔ بُل ایکسچینج نے اس سال اپریل میں صارف کی والٹ میں سے 316,000 امریکی ڈالر کی چوری کی۔
وہ نے کہا کہ اس صعودی رجحان 智能体人工智能 کی وجہ سے بہت سے صارفین اپنی پیداواری صلاحیت بڑھانے کے لیے نئے ایپلیکیشنز اور ایکسٹینشنز جاری کر رہے ہیں، جبکہ برے مقاصد والے افراد بھی اس رجحان کا فائدہ اٹھا رہے ہیں۔ وہ کہتی ہیں: “کاروباری اداروں کو نئے آرٹیفیشل انٹیلی جنس ایپلیکیشنز اور ایکسٹینشنز کے استعمال کے دوران خصوصی احتیاط برتنی چاہیے، اور ان کے اندر کے سیکورٹی ماڈلز کا جائزہ لینا چاہیے تاکہ یہ یقینی بنایا جا سکے کہ اگر کوئی سیکورٹی خرابی واقع ہو بھی جائے تو اس کا اثر کم سے کم ہو۔”
لاو نے کہا کہ یہ حملہ “ایک سلسلہ وار طریقوں” کے ذریعے کیا گیا، جس میں سب سے پہلے ملازم کے اکاؤنٹس کا استعمال کیا گیا، پھر تدریجی طور پر بڑھایا گیا، اور آخرکار اندر کے ماحول تک بڑھے ہوئے رسائی حاصل کی گئی۔ حالانکہ Vercel اپنے صارفین کے ماحولیاتی متغیرات کو سٹیٹک طور پر محفوظ کرتا ہے، لیکن اس کمپنی نے کچھ متغیرات کو غیر حساس نشان زد کرنے کی اجازت دی ہے، جس کی وجہ سے حملہ آور ان متغیرات تک رسائی حاصل کر سکے۔
کمپنی کا خیال ہے کہ متاثرہ صارفین کی تعداد محدود ہے، اور اس نے ممکنہ طور پر متاثرہ صارفین کو ترجیحی طور پر رابطہ کیا ہے۔ ورسیل نے بعد میں اضافی مانیٹرنگ اور تحفظ کے اقدامات لاگو کیے، جبکہ اپنی سپلائی چین کا جائزہ لیا تاکہ نیکس جے اور ٹربو پیک جیسے منصوبوں کی حفاظت یقینی بنائی جا سکے۔
نیلیون کے سی ای او جان ووڈز نے ڈیکرپٹ کو بتایا کہ یہ "محدود ذیلی مجموعہ" عام طور پر اس بات کا اشارہ ہے کہ اب تک نظر آنے والے متاثرہ صارفین کا گروہ محدود لگ رہا ہے، لیکن اس سے زیادہ وسیع اندر کی پھیلاؤ یا زیادہ وسیع نیچے کی خطرات کو مسترد نہیں کیا جا سکتا۔ ووڈز نے کہا: "جدید کلاؤڈ پلیٹ فارمز میں، اثرات کا دائرہ صرف اس بات پر منحصر نہیں ہے کہ شروع میں کتنے صارفین واضح طور پر متاثر ہوئے، بلکہ اس بات پر بھی منحصر ہے کہ نقصان پہنچنے والے سسٹم پیچھے سے کتنے دور تک پہنچ سکتے ہیں۔"
اس نے کہا کہ کاروبار کو اس قسم کی صورتحال سے بچنے کے لیے بہترین طریقہ کار کی ایک سیریز پر عمل کرنا چاہیے: "OAuth اتھارائزیشن کی سیکیورٹی کو مضبوط بنائیں، کم سے کم اختیارات کا اصول لاگو کریں، حساس ماحولیاتی متغیرات پر سخت کنٹرول نافذ کریں، فرانت اینڈ ڈیپلومنٹ کو کلید یا دستخط کے اختیارات سے الگ کریں، اور ڈیپلومنٹ اور لاگز پر نزدیک سے نظر رکھیں۔"
اس نے کہا، "کسی بھی ایسے شخص کے لیے جس کے اعتماد کے اثبات چوری ہو سکتے ہیں، فوری طور پر تکنیکی تک پہنچ کو منسوخ کرنا، اعتماد کے اثبات کو بدلنا، اور ان اثباتوں کے ذریعے تک پہنچے جانے والے ہر سسٹم کا جائزہ لینا ضروری ہے،" اور اس نے نوٹ کیا، "اوپر کے سطح پر، سبق یہ ہے کہ ایسی ڈھانچہ کا استعمال نہ کریں جس میں ایک ایکسپوشر پورے نظام کو متاثر کر سکتا ہے۔"
ابھی تک نہیں معلوم کہ اس حملے کی منصوبہ بندی کس نے کی ہے۔ اسکرین شاٹ ایک "ShinyHunters" نامی ہیکر گروہ کا صارف فورم پر دعویٰ کر رہا ہے کہ اس نے Vercel میں گھس کر کمپنی کے ڈیٹا، جس میں سورس کوڈ، API کلیدیں اور اندر کے سسٹم شامل ہیں، تک رسائی حاصل کر لی ہے۔
اس اداکار (جو شائی ہنٹرز کا دعویٰ بھی کر رہا ہو سکتا ہے) نے دعویٰ کیا ہے کہ اس نے کمپنی کے ساتھ 2 ملین امریکی ڈالر کی فدیہ مانگ کے بارے میں بات چیت کی تھی۔ ورسیل نے اب تک اس پر کوئی تبصرہ نہیں کیا ہے۔