El proveedor de infraestructura web Vercel ha revelado una brecha de seguridad que permite a los delincuentes obtener acceso no autorizado a «ciertos» sistemas internos de Vercel.
El incidente se debió al compromiso de Context.ai, una herramienta de inteligencia artificial (IA) de terceros, que fue utilizada por un empleado de la empresa.
«El atacante utilizó ese acceso para apoderarse de la cuenta Vercel Google Workspace del empleado, lo que le permitió obtener acceso a algunos entornos de Vercel y variables de entorno que no estaban marcadas como ‘sensibles'», dijo la empresa. dicho en un boletín.
Vercel dijo que las variables de entorno marcadas como «sensibles» se almacenan de una manera cifrada que evita que sean leídas, y que actualmente no hay evidencia que sugiera que el atacante haya accedido a esos valores.
Describió al actor de amenazas detrás del incidente como «sofisticado» basándose en su «velocidad operativa y comprensión detallada de los sistemas de Vercel». La compañía también dijo que está trabajando con Mandiant, propiedad de Google, y otras firmas de ciberseguridad, además de notificar a las autoridades y colaborar con Context.ai para comprender mejor el alcance total de la infracción.
Se dice que un «subconjunto limitado» de clientes vio comprometidas sus credenciales, y Vercel se comunicó con ellos directamente y los instó a rotar sus credenciales con efecto inmediato. La empresa continúa investigando qué datos se exfiltraron y planea ponerse en contacto con los clientes si se descubren más pruebas de compromiso.
Vercel también recomienda a los administradores de Google Workspace y a los propietarios de cuentas de Google que comprueben la siguiente aplicación OAuth:
110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com
Como mitigaciones adicionales, se han recomendado las siguientes mejores prácticas:
Si bien Vercel aún no ha compartido detalles sobre cuáles de sus sistemas fueron pirateados, cuántos clientes se vieron afectados y quién puede estar detrás de esto, un actor de amenazas que utiliza la personalidad de ShinyHunters ha reclamado responsable del hackeo, vendiendo los datos robados por un precio inicial de 2 millones de dólares.
«Hemos implementado amplias medidas de protección y monitoreo. Hemos analizado nuestra cadena de suministro, garantizando que Next.js, Turbopack y nuestros numerosos proyectos de código abierto sigan siendo seguros para nuestra comunidad», Guillermo Rauch, director ejecutivo de Vercel. dicho en una publicación en X.
«En respuesta a esto, y para ayudar a mejorar las posturas de seguridad de todos nuestros clientes, ya hemos implementado nuevas capacidades en el panel, incluida una página de descripción general de las variables de entorno y una mejor interfaz de usuario para la creación y gestión de variables de entorno sensibles».
Fuente