Kinumpirma ng Vercel, isang cloud hosting provider na popular sa mga proyekto ng crypto, na dumanas ito ng paglabag sa seguridad na nagpahintulot sa mga hacker na makakuha ng “limitadong” subset ng mga kredensyal ng customer.
Sinabi ng Vercel sa isang blog post noong Linggo na “nakilala nito ang isang insidente sa seguridad na kinasasangkutan ng hindi awtorisadong pag-access sa ilang internal na sistema ng Vercel” at iniimbestigahan ang paglabag.
“Sa simula, nakilala namin ang isang limitadong subset ng mga customer na ang Vercel credentials ay nakompromiso,” dagdag nito. “Nakipag-ugnayan kami sa subset na iyon at inirekomenda ang agarang pagpapalit ng mga kredensyal.”
Ang kumpirmasyon ng Vercel ay dumating matapos iulat ng maraming user ng X na ang isang post sa hacking forum na BreachForums ng isang user na tinatawag na “ShinyHunters” ay nag-claim na nag-aalok ng data ng Vercel kapalit ng $2 milyon.
Inangkin ng nag-post na mayroon silang access keys, source code, impormasyon sa database at mga account ng empleyado na may access sa internal deployments, na sinabi nilang maaaring gamitin para sa isang “global supply chain attack.”
Hindi tinugunan ng Vercel ang mga pahayag ng post, ngunit sinabi nito na ang umaatake ay “lubos na sopistikado batay sa kanilang bilis ng operasyon at detalyadong pag-unawa sa mga sistema ng Vercel.”
Sinabi ni Vercel CEO Guillermo Rauch noong Linggo na nagsimula ang pag-atake matapos makompromiso ang isang empleyado ng Vercel sa pamamagitan ng paglabag sa isang artificial intelligence tool na ginamit nila na tinatawag na Context.ai.
Nagawang makompromiso ng umaatake ang Google Workspace account ng empleyado ng Vercel, na nagbigay sa kanila ng access sa ilan sa mga internal na sistema ng Vercel.
Sinabi ni Rauch na iniimbak ng kumpanya ang customer environments na may full encryption, ngunit may kakayahan itong magtalaga ng mga variable bilang “non-sensitive,” at ang umaatake ay “nakakuha ng karagdagang access sa pamamagitan ng kanilang enumeration.”
Kaugnay: Bumagsak ang TVL ng Aave ng $8B isang araw matapos ang $293M Kelp DAO hack
“Naniniwala kami na ang grupo ng umaatake ay lubos na sopistikado at, malaki ang hinala ko, lubos na pinabilis ng AI,” dagdag niya. “Kumilos sila nang may nakakagulat na bilis at malalim na pag-unawa sa Vercel.”
Sinabi ni Rauch na ang Vercel ay “nag-deploy ng malawak na hakbang sa proteksyon at pagsubaybay” at sinuri nito ang supply chain nito upang matiyak na “nananatiling ligtas ang Next.js, Turbopack, at ang aming maraming open source projects para sa aming komunidad.”
“Ang payo ko sa lahat ay sundin ang pinakamahusay na kasanayan sa security response: secret rotation, pagsubaybay sa access sa iyong Vercel environments at linked services, at pagtiyak sa tamang paggamit ng sensitive env variables feature,” dagdag niya.
Magazine: Kilalanin ang mga onchain crypto detective na lumalaban sa krimen nang mas mahusay kaysa sa mga pulis
