Платформа Vercel, що спеціалізується на хмарній розробці, зазнала атаки, внаслідок якої зловмисники отримали несанкціонований доступ до частини внутрішньої інфраструктури компанії. Цей інцидент стався через використання стороннього інструменту штучного інтелекту Context.ai, який застосовував один із працівників компанії.
Згідно з інформацією, отриманою в результаті розслідування та публікацій The Hacker News, атака почалася з компрометації стороннього інструмента, інтегрованого в робочий процес співробітника Vercel. Це дозволило зловмисникам отримати контроль над обліковим записом у Google Workspace, що, в свою чергу, дало їм доступ до внутрішніх систем компанії. В результаті було виявлено частину змінних середовища, які не були позначені як конфіденційні. Vercel зазначає, що справді чутливі дані зберігаються у зашифрованому вигляді, і на момент перевірки ознак їхнього витоку не виявлено.
Внутрішня оцінка Vercel свідчить про те, що інцидент був ретельно спланований: зловмисник діяв швидко, демонструючи глибоке розуміння архітектури системи та точну навігацію інфраструктурою. Для розслідування залучено фахівців Mandiant, які є частиною екосистеми Google, а також зовнішніх експертів у сфері кібербезпеки. Компанія також співпрацює з Context.ai і повідомила правоохоронні органи.
Попередньо, інцидент міг вплинути на обмежену кількість клієнтів. Vercel вже зв’язалася з потенційно постраждалими особами та рекомендувала терміново оновити облікові дані та перевірити доступи. Адміністраторам Google Workspace було окремо рекомендовано перевірити підозрілу OAuth-інтеграцію з ідентифікатором: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com.
Компанія також оприлюднила ряд заходів безпеки: перевірка журналів активності на аномальні дії, аналіз змінних середовища без маркування конфіденційності, перегляд останніх деплойментів на предмет несанкціонованих змін, впевненість у тому, що рівень захисту деплойменту не нижчий за стандартний, а також оновлення токенів захисту за потреби.
Генеральний директор Vercel, Гільєрмо Раух, повідомив, що компанія посилила моніторинг і захист системи, а також провела додатковий аудит ланцюга постачання. Окрему увагу приділено проєктам Next.js, Turbopack та іншим компонентам з відкритим кодом.
На даний момент Vercel не розкриває точний перелік скомпрометованих систем і кількість постраждалих клієнтів. Водночас, відповідальність за атаку взяв на себе хакер під псевдонімом ShinyHunters, який заявив про намір продати викрадені дані приблизно за $2 млн.
Після інциденту Vercel посилила захист і впровадила нові функції, зокрема розширену панель моніторингу змінних середовища та покращені інструменти для роботи з конфіденційними даними.