Vercel повідомляють про масовий витік даних користувачів

Хмарна платформа Vercel, на якій тримається левова частка сучасних проєктів, заявила про витік даних своїх користувачів.

Керівництво компанії публічно намагається подати це як контрольований інцидент, що зачепив лише незначну кількість користувачів. Проте реальні масштаби витоку та технічні деталі атаки свідчать про глибокі архітектурні прорахунки та нехтування базовими правилами кібербезпеки.

Що сталося

Усе почалося з того, що хтось із команди Vercel вирішив підключити до свого робочого акаунта Google Workspace сторонній ШІ-інструмент під назвою Context.ai. Ця платформа призначена для створення інтелектуальних корпоративних агентів і для своєї роботи вимагала авторизації через OAuth.

І проблема тут полягає в тому, що цьому зовнішньому сервісу для чогось надали надзвичайно широкі права доступу, які дозволяли взаємодіяти з рівнем розгортання інфраструктури. Коли зловмисники успішно хакнули сам Context.ai, вони автоматично отримали ключі від внутрішнього середовища Vercel через скомпрометований акаунт співробітника.

«Не баг, а фіча»

Отримавши доступ, хакери знайшли діру в архітектурі самого Vercel. CEO Vercel Гільєрмо Раух спробував виправдати ситуацію тим, що зловмисники змогли прочитати лише ті змінні середовища, які клієнти власноруч позначили як нечутливі.

«Vercel зберігає всі клієнтські змінні середовища повністю зашифрованими. Ми маємо численні механізми глибокого захисту для захисту ключових систем та даних клієнтів. Однак у нас є можливість позначати змінні середовища як „нечутливі“. На жаль, зловмисник отримав подальший доступ шляхом їх перерахування».

За внутрішньою логікою платформи такі дані просто зберігалися у відкритому вигляді та не шифрувалися на дисках. У результаті нападники просто перебрали ці змінні та масово витягли звідти токени NPM, ключі доступу до приватних репозиторіїв GitHub, паролі від баз даних та криптографічні ключі підпису.

Відповідальність за проникнення взяв на себе хакер, який представився одним із команди ShinyHunters. Але саме угруповання відхрещується від інциденту і заявляє, що цього разу вони непричетні.

Зловмисник уже опублікував фрагмент бази даних із записами понад п’ятисот співробітників Vercel і виставив компанії рахунок на два мільйони доларів за нерозголошення решти інформації.

«Це лише від Linear як доказ, але доступ, який я збираюся вам надати, включає кілька облікових записів співробітників з доступом до кількох внутрішніх розгортань, ключів API (включаючи деякі токени NPM та деякі токени GitHub)», — йдеться у дописі на форумі.

Інцидент виявився настільки масштабним, що Vercel довелося наймати Mandiant — елітний підрозділ Google з розслідування кібератак. У своєму бюлетені Vercel просить користувачів терміново перевірити історію розгортань на предмет підозрілої активності та оновити токени захисту.

Компанія також оприлюднила ідентифікатор OAuth-застосунку, який адміністраторам Google Workspace необхідно швидко заблокувати в разі виявлення його у себе:

110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com

Нагадаємо, що нещодавно жертвами атак на ланцюг постачання стали також популярний HTTP-клієнт Axios та python-бібліотека Litellm.