Облачната платформа Vercel потвърди инцидент със сигурността, след като престъпници заявиха, че са получили неоторизиран достъп до вътрешни системи и се опитват да продадат откраднати данни.
Компанията уточнява, че е засегнат ограничен брой клиенти, като към момента няма данни за прекъсване на услугите. Провежда се разследване с участието на външни експерти и са уведомени правоприлагащите органи.
Коренът на проблема: компрометиран OAuth достъп
Според официалната информация, пробивът е започнал чрез компрометиране на OAuth приложение в Google Workspace, свързано с външен ИИ инструмент – Context.ai.
По-късно главният изпълнителен директор Гийермо Раух разкрива, че атаката е стартирала чрез компрометиран акаунт на служител, което е позволило:
- първоначален достъп до вътрешни системи
- ескалация на привилегии
- достигане до среди с конфигурационни данни
Ролята на environment променливите
Атакуващите са успели да достъпят environment variables, които не са били маркирани като чувствителни. Това означава:
- те не са били криптирани „at rest“
- първоначално са считани за безопасни
- чрез тях е извършена допълнителна ескалация
Въпреки че Vercel подчертава, че чувствителните данни се криптират, възможността за маркиране на променливи като „non-sensitive“ се оказва слабост в конкретния сценарий.
Засегнати ли са основни технологии?
Компанията потвърждава, че ключови проекти като:
- Next.js
- Turbopack
остават незасегнати, както и останалите open-source компоненти.
Реакция и предприети мерки
В отговор на инцидента, Vercel:
- актуализира контролния панел с по-добра видимост върху environment variables
- подобрява управлението на чувствителни данни
- препоръчва на клиентите:
- да прегледат всички environment променливи
- да активират защита за чувствителни стойности
- да ротират ключове и токени
Твърдения за продажба на данни
Инцидентът излиза наяве след публикация във форум от ShinyHunters.
- API ключове
- изходен код
- достъп до вътрешни среди
- токени за GitHub и NPM
Интересен детайл е, че други участници, свързвани с групата, отричат участие в атаката, което поставя под въпрос автентичността на твърденията.
Допълнително са публикувани:
- файл с ~580 записа за служители
- екранни снимки на вътрешни панели
Към момента тези данни не са независимо потвърдени.
Потенциален ransom сценарий
Според комуникации в Telegram, атакуващият твърди, че е водил разговори с компанията и е поискал откуп от 2 милиона долара. Няма официално потвърждение за такива преговори.
Kакво прави този инцидент показателен
Този случай подчертава няколко критични тенденции:
1. Рискът от трети страни
Интеграциите с външни ИИ инструменти и SaaS услуги разширяват атакуваемата повърхност.
2. OAuth като вектор за атака
Компрометиран OAuth достъп може да заобиколи класически механизми за защита.
3. Неправилна класификация на данни
Дори „несъществени“ променливи могат да бъдат използвани за ескалация.
4. Комбинирани атаки
Атаката включва:
- разкриван на креденшъли
- ескалация на привилегии
- странично придвижване
Инцидентът с Vercel показва, че дори добре защитени платформи могат да бъдат компрометирани чрез верига от по-малки слабости – от външни интеграции до неправилно управление на конфигурации.
За организациите това е ясен сигнал – контролът върху достъпа и класификацията на данните е също толкова важен, колкото и самата инфраструктурна сигурност.
