Vercel confirme une faille de sécurité, des hackers affirment vendre les données dérobées

 (bleepingcomputer.com)
3 points par GN⁺ 10 일 전 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Vercel a officiellement confirmé un incident de sécurité impliquant un accès non autorisé à ses systèmes internes, et collabore actuellement avec des experts en réponse aux incidents ainsi qu’avec les forces de l’ordre
  • La cause de la compromission est liée à l’application Google Workspace OAuth de l’outil d’IA tiers Context.ai, qui a été compromise, entraînant le détournement d’un compte employé de Vercel
  • Les attaquants ont énuméré des variables d’environnement non sensibles (non-sensitive) afin d’obtenir des privilèges supplémentaires, ces variables étant stockées sans chiffrement au repos
  • Un hacker se présentant comme ShinyHunters affirme sur un forum de piratage vendre des clés d’accès, du code source, des données de base de données, des clés API, etc., et réclame une rançon de 2 millions de dollars
  • Vercel a confirmé la sécurité de ses projets open source comme Next.js et Turbopack, et recommande à ses clients de vérifier leurs variables d’environnement et d’activer la fonctionnalité de variables sensibles

Aperçu de l’incident de sécurité

  • Vercel est une plateforme d’infrastructure cloud d’hébergement et de déploiement spécialisée dans les frameworks JavaScript, éditrice de Next.js et fournisseur de fonctions serverless, d’edge computing et de services de pipeline CI/CD
  • Dans un avis de sécurité, l’entreprise a officiellement confirmé qu’un accès non autorisé (unauthorized access) à ses systèmes internes avait eu lieu
  • Un sous-ensemble limité de clients a été affecté, mais le service lui-même n’a pas été impacté
  • L’entreprise a engagé des experts en réponse aux incidents et a notifié les forces de l’ordre, tout en poursuivant l’enquête

Vecteur de compromission et détails techniques

  • La cause profonde de la faille est la compromission de l’application Google Workspace OAuth de la plateforme d’IA tierce Context.ai
  • Le CEO de Vercel, Guillermo Rauch, a publié des détails supplémentaires sur X (anciennement Twitter)
    • Les attaquants ont compromis le compte Google Workspace d’un employé de Vercel via la compromission de Context.ai
    • Ils ont ensuite élevé leurs privilèges (escalate) depuis ce compte vers l’environnement Vercel
  • Les attaquants ont accédé à des variables d’environnement marquées "non sensibles (non-sensitive)", stockées sans chiffrement au repos (not encrypted at rest)
  • Vercel indique que toutes les variables d’environnement client sont stockées avec un chiffrement complet au repos (fully encrypted at rest) et protégées par des mécanismes de défense multicouches, mais que les variables marquées comme "non sensibles" ont servi de point faible
  • Recommandation aux administrateurs Google Workspace de vérifier l’application OAuth suivante :
    • 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com

Les affirmations des hackers sur la vente des données

  • Un acteur malveillant se présentant comme ShinyHunters a publié sur un forum de piratage un message affirmant disposer des données issues de la compromission de Vercel et les mettre en vente
    • Éléments proposés à la vente : clés d’accès, code source, données de base de données, accès au déploiement interne, clés API (dont des tokens NPM et GitHub)
    • Il affirme détenir l’accès à de nombreux comptes employés, en présentant des données Linear comme preuve
  • D’anciens acteurs malveillants liés au groupe ShinyHunters ont nié auprès de BleepingComputer toute implication dans cet incident
  • Le fichier texte partagé par les attaquants contiendrait 580 fiches d’employés de Vercel, avec nom, adresse e-mail Vercel, statut du compte et horodatages d’activité
  • Une capture d’écran présentée comme provenant du tableau de bord Vercel Enterprise a également été partagée
  • BleepingComputer n’a pas pu vérifier indépendamment l’authenticité de ces données et de cette capture
  • Dans des messages Telegram, l’acteur malveillant affirme être en contact avec Vercel et avoir demandé une rançon de 2 millions de dollars (ransom)

Réponse de Vercel et recommandations aux clients

  • Vercel a confirmé que Next.js, Turbopack et les autres projets open source sont sûrs
  • L’entreprise a déployé sur le tableau de bord une page de vue d’ensemble des variables d’environnement ainsi qu’une interface améliorée pour gérer les variables d’environnement sensibles
  • Mesures recommandées aux clients :
    • Vérifier les variables d’environnement (environment variables)
    • Activer la fonctionnalité de variables d’environnement sensibles (sensitive environment variable feature) afin de garantir le chiffrement lorsqu’elles ne sont pas utilisées
    • Effectuer une rotation des secrets (secret rotation) si nécessaire

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.