Vercel 是一家受加密貨幣專案歡迎的雲端託管服務供應商,已證實遭受資安事件,導致駭客竊取了「有限」的客戶憑證子集。
Vercel 週日在部落格文章中表示,他們「確認了一起涉及未經授權存取 Vercel 部分內部系統的資安事件」,並正在調查該漏洞。
文章補充說:「最初,我們發現一小部分客戶的 Vercel 憑證遭到洩露。」「我們已聯繫該部分客戶,並建議立即更換憑證。」
Vercel 的證實是在多位 X 用戶報告後發布的。這些用戶指出,駭客論壇 BreachForums 上一個名為「ShinyHunters」的用戶發文聲稱,正以 200 萬美元的價格出售 Vercel 的資料。
該發文者聲稱擁有存取金鑰、原始碼、資料庫資訊以及可存取內部部署的員工帳戶,並表示這些資料可用於發動「全球供應鏈攻擊」。
Vercel 未對該貼文的說法發表評論,但表示攻擊者「基於其攻擊速度和對 Vercel 系統的詳細了解,是高度複雜的」。
Vercel 執行長 Guillermo Rauch 週日表示,此次攻擊源於一名 Vercel 員工因其使用的名為 Context.ai 的人工智慧工具遭到入侵而受害。
攻擊者隨後能夠入侵該 Vercel 員工的 Google Workspace 帳戶,從而獲得對 Vercel 部分內部系統的存取權限。
Rauch 表示,公司對客戶環境進行了完全加密儲存,但擁有將變數指定為「非敏感」的能力,而攻擊者「透過列舉獲得了進一步的存取權」。
相關報導: Kelp DAO 遭受 2.93 億美元駭客攻擊後,Aave 的總鎖定價值 (TVL) 一天內暴跌 80 億美元
他補充說:「我們認為這個攻擊團體高度複雜,而且我強烈懷疑,他們在 AI 的幫助下顯著加速了攻擊。」「他們的行動速度驚人,對 Vercel 有著深入的了解。」
Rauch 表示,Vercel 已「部署了廣泛的保護措施和監控」,並分析了其供應鏈,以確保「Next.js、Turbopack 以及我們的許多開源專案對我們的社群來說仍然是安全的」。
他補充說:「我給每個人的建議是遵循資安應變的最佳實踐:密鑰輪替、監控您 Vercel 環境和連結服務的存取,並確保正確使用敏感環境變數功能。」
雜誌: 認識比警察更會打擊犯罪的鏈上加密偵探
