Платформу облачной разработки Vercel взломали

Система облачной разработки Vercel сообщила об инциденте безопасности после того, как злоумышленники взломали её системы и попытались продать украденные информация.

Vercel — это облачная платформа, предоставляющая инфраструктуру хостинга и развёртывания для разработчиков с упором на фреймворки JavaScript. Компания известна разработкой Next.js, широко используемого фреймворка React, а равным образом предоставлением таких услуг, как бессерверные функции, граничные вычисления и конвейеры CI/CD, позволяющие создавать, просматривать и развёртывать приложения.

«Мы выявили инцидент безопасности, связанный с несанкционированным доступом к некоторым внутренним системам Vercel. Мы активно проводим расследование и привлекли экспертов по реагированию на инциденты для оказания помощи в расследовании и устранении последствий. Мы уведомили правоохранительные органы и будем обновлять эту страницу по мере продвижения расследования», — предупреждает Vercel.

Организация заявляет, что её сервисы не пострадали, и что она работает с пострадавшими клиентами. Им рекомендовали проверять переменные среды, применять функцию проверки конфиденциальных переменных среды и при необходимости менять секретные ключи.

Утечка произошла в связи с взлома приложения OAuth для Google Workspace, разработанного сторонним инструментом искусственного интеллекта.

Vercel рекомендует администраторам Google Workspace и владельцам учетных записей Google проверить наличие следующего приложения: OAuth App: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com.

Генеральный директор Vercel Гильермо Раух позже поделился дополнительными подробностями на X, заявив, что доступ произошел после того, как учётная запись Google Workspace сотрудника Vercel была взломана в результате утечки данных на платформе искусственного интеллекта Context.ai.

В соответствии с заявлению Рауха, злоумышленник проник в среды Vercel через взломанную учётную запись, где смог получить доступ к переменным среды, которые не были помечены как конфиденциальные и, следовательно, не были зашифрованы в состоянии покоя.

Хотя эти переменные предназначались для хранения неконфиденциальной информации, хакер получил дальнейший доступ после перечисления этих переменных.

«Vercel хранит все переменные среды клиентов в полностью зашифрованном виде в состоянии покоя. У нас есть много многоуровневых механизмов защиты для основных систем и данных клиентов», — сказал Раух.

Расследование компании подтвердило, что Next.js, Turbopack и другие проекты с открытым исходным кодом остаются в безопасности.

Vercel равным образом выпустила обновления для своей панели управления, в том числе страницу обзора переменных среды и улучшенный интерфейс для управления конфиденциальными переменными среды.

Клиентам настоятельно рекомендуется проверять переменные среды на наличие конфиденциальной информации и включить функцию проверки конфиденциальных переменных, чтобы гарантировать их шифрование в состоянии покоя.

Между тем злоумышленник, называющий себя «ShinyHunters», опубликовал на хакерском форуме сообщение о взломе Vercel и продаже доступа к данным компании.

Одновременно другие злоумышленники, связанные с недавними атаками, приписываемыми вымогательской группировке ShinyHunters, отрицают свою причастность к этому инциденту.

Сам хакер утверждает, что продаёт ключи доступа, исходный код и данные базы данных, украденные у Vercel, а равным образом доступ к внутренним развёртываниям и ключи api.

«Это только доказательство от Linear, но доступ, который я собираюсь вам предоставить, включает в себя несколько учётных записей сотрудников с доступом к нескольким внутренним развёртываниям, ключи api (в том числе некоторые токены NPM и некоторые токены GitHub)», — говорится в сообщении на форуме. 

Злоумышленник равным образом поделился текстовым файлом, содержащим информацию о сотрудниках Vercel, который состоит из 580 записей с именами, адресами электронной почты Vercel, статусом учётных записей и временными метками активности. Он разместил скриншот внутренней панели управления Vercel Enterprise.

В сообщениях, опубликованных в Telegram, злоумышленник также объявил, что связался с Vercel по поводу инцидента и что они обсуждали предполагаемое требование выкупа в размере $2 млн.