Vercel, क्रिप्टो परियोजनाओं के बीच एक लोकप्रिय क्लाउड होस्टिंग प्रदाता, ने पुष्टि की है कि उसे एक सुरक्षा उल्लंघन का सामना करना पड़ा है जिसने हैकर्स को ग्राहक क्रेडेंशियल्स के "सीमित" उपसमूह को चुराने की अनुमति दी।
Vercel ने रविवार को एक ब्लॉग पोस्ट में कहा कि उसने "एक सुरक्षा घटना की पहचान की है जिसमें कुछ आंतरिक Vercel प्रणालियों तक अनधिकृत पहुंच शामिल थी" और वह इस उल्लंघन की जांच कर रहा था।
"शुरुआत में हमने उन ग्राहकों के एक सीमित उपसमूह की पहचान की जिनके Vercel क्रेडेंशियल्स से समझौता किया गया था," इसमें जोड़ा गया। "हमने उस उपसमूह से संपर्क किया और क्रेडेंशियल्स के तत्काल रोटेशन की सिफारिश की।"
Vercel की पुष्टि कई X उपयोगकर्ताओं द्वारा यह रिपोर्ट किए जाने के बाद आई कि हैकिंग फ़ोरम BreachForums पर "ShinyHunters" नामक एक उपयोगकर्ता द्वारा की गई एक पोस्ट में $2 मिलियन के बदले Vercel का डेटा पेश करने का दावा किया गया था।
पोस्टर ने एक्सेस कीज़, सोर्स कोड, डेटाबेस जानकारी और आंतरिक डिप्लॉयमेंट तक पहुंच वाले कर्मचारी खातों तक पहुंच का दावा किया, जिसके बारे में उन्होंने कहा कि इसका उपयोग "वैश्विक सप्लाई चेन अटैक" के लिए किया जा सकता है।
Vercel ने पोस्ट के दावों का जवाब नहीं दिया, लेकिन कहा कि हमलावर "उनकी परिचालन गति और Vercel की प्रणालियों की विस्तृत समझ के आधार पर अत्यधिक परिष्कृत था।"
Vercel के सीईओ गुइलेर्मो राउच ने रविवार को कहा कि यह हमला तब शुरू हुआ जब एक Vercel कर्मचारी को उनके द्वारा उपयोग किए जाने वाले Context.ai नामक एक आर्टिफिशियल इंटेलिजेंस टूल के उल्लंघन के माध्यम से समझौता किया गया था।
हमलावर तब Vercel कर्मचारी के Google Workspace खाते से समझौता करने में सक्षम था, जिससे उन्हें Vercel की कुछ आंतरिक प्रणालियों तक पहुंच मिल गई।
राउच ने कहा कि कंपनी ग्राहक परिवेशों को पूर्ण एन्क्रिप्शन के साथ संग्रहीत करती है, लेकिन इसमें वेरिएबल्स को "गैर-संवेदनशील" के रूप में नामित करने की क्षमता है, और हमलावर को "उनके इनुमरेशन के माध्यम से आगे की पहुंच मिली।"
संबंधित: $293M केल्प DAO हैक के एक दिन बाद Aave का TVL $8B गिरा
"हमारा मानना है कि हमलावर समूह अत्यधिक परिष्कृत है और, मुझे दृढ़ता से संदेह है, AI द्वारा महत्वपूर्ण रूप से त्वरित है," उन्होंने आगे कहा। "वे आश्चर्यजनक गति और Vercel की गहरी समझ के साथ आगे बढ़े।"
राउच ने कहा कि Vercel ने "व्यापक सुरक्षा उपाय और निगरानी तैनात की थी" और उसने अपनी सप्लाई चेन का विश्लेषण किया था ताकि यह सुनिश्चित किया जा सके कि "Next.js, Turbopack और हमारी कई ओपन सोर्स परियोजनाएं हमारे समुदाय के लिए सुरक्षित रहें।"
"मेरी सभी को सलाह है कि वे सुरक्षा प्रतिक्रिया के सर्वोत्तम अभ्यासों का पालन करें: सीक्रेट रोटेशन, अपने Vercel परिवेशों और लिंक की गई सेवाओं तक पहुंच की निगरानी, और संवेदनशील env वेरिएबल्स सुविधा के उचित उपयोग को सुनिश्चित करना," उन्होंने जोड़ा।
पत्रिका: ऑनचेन क्रिप्टो जासूसों से मिलें जो पुलिस से बेहतर अपराध से लड़ रहे हैं
