前端雲平台Vercel是Next.js和Turbo.js的創建者,近日發出警告,稱一款遭到入侵的第三方AI應用程序濫用OAuth機制,非法訪問了其內部系統,導致數據泄露事件發生。
一名Vercel員工使用了名為Context.ai的第三方應用程序,攻擊者藉此接管了該員工的Google Workspace賬戶,並獲取了部分環境變量的訪問權限。Vercel表示,這些環境變量在系統中並未被標記為"敏感"數據。
Vercel在其安全公告中表示:"在Vercel中被標記為'敏感'的環境變量以特殊方式儲存,外部無法直接讀取,目前我們沒有證據表明這些敏感數據遭到訪問。"
此次事件波及範圍相對有限,僅有小部分客戶的Vercel憑據遭到泄露。Vercel表示,已主動聯繫受影響客戶,要求其及時更換憑據。
根據網路上流傳的資訊,一名自稱是Shinyhunters黑客組織成員的威脅行為者,甚至在Vercel官方公開確認數據泄露事件之前,便已開始嘗試出售據稱包含訪問密鑰、源代碼和私有資料庫在內的竊取數據。
Vercel在披露事件時確認,最初的入侵路徑是通過與Context.ai綁定的Google Workspace OAuth實現的。一旦該應用程序被攻陷,攻擊者便繼承了其被授予的所有權限,包括對相關Vercel員工賬戶的訪問能力。
目前仍不清楚Context.ai的基礎設施是否遭到入侵、OAuth令牌是否被竊取,或者AI工作空間內是否存在會話或令牌泄漏,導致攻擊者得以濫用已認證的訪問權限進入Vercel環境。截至目前,Context.ai尚未回應媒體的置評請求。
Vercel在公告中表示:"我們已直接與Context.ai接洽,以全面了解此次底層入侵事件的影響範圍。根據攻擊者的行動速度及其對Vercel系統的深入了解,我們判斷其具有極高的技術水平。目前我們正與Mandiant及其他網路安全公司、行業夥伴以及執法機構展開合作。"
Vercel建議其客戶審查活動日誌以發現可疑行為,並對環境變量進行輪換,特別是任何可能已遭泄露的未受保護密鑰。此外,Vercel還建議用戶啟用敏感變量保護功能、檢查近期部署是否存在異常,並通過更新部署保護設置和在必要時輪換相關令牌來強化安全防護措施。
Vercel特別強調,所有未被標記為"敏感"的重要密鑰,包括API密鑰、令牌、資料庫憑據以及簽名密鑰,均應被視為可能已遭泄露,並應優先完成輪換操作。
對於感到擔憂的用戶,Vercel提供了一個明確的判斷依據:"如果您未收到我們的聯繫通知,目前我們沒有理由認為您的Vercel憑據或個人數據已遭到泄露。"
根據網路上流傳的截圖,一名威脅行為者已在暗網上聲稱對此次泄露事件負責,並嘗試出售竊取所得的數據。該行為者在帖子中寫道:"大家好,今天我出售來自Vercel公司的訪問密鑰、源代碼和資料庫。有意者請報價。如果操作得當,這可能是有史以來最大規模的供應鏈攻擊。"
上述數據於4月19日以200萬美元的價格掛牌出售。
從截圖來看,該威脅行為者使用了"BreachForums"域名,並隱晦地暗示自己是臭名昭著的黑客網站運營者Shinyhunters本人。其他線索還包括帖子中提及的Telegram頻道"@Shinyc0rpsss"以及電子郵件地址"[email protected]"。
儘管近期有跡象顯示ShinyHunters在經歷多次打壓和逮捕後再度活躍,但此次事件更有可能是某個冒名者借用該組織的聲譽為自己增添可信度,類似的案例在此前已有先例。
Q&A
Q1:Vercel數據泄露事件是怎麼發生的?
A:此次泄露的根本原因是一名Vercel員工使用了第三方AI應用Context.ai,該應用與Google Workspace通過OAuth機制綁定。攻擊者入侵Context.ai後,繼承了其被授予的權限,進而接管了該員工的Google Workspace賬戶,並訪問了部分未被標記為"敏感"的環境變量,最終導致小部分客戶的Vercel憑據遭到泄露。
Q2:Vercel用戶應該如何應對此次數據泄露?
A:Vercel建議用戶立即採取以下措施:審查賬戶活動日誌,排查可疑行為;對所有環境變量進行輪換,尤其是未標記為"敏感"的API密鑰、令牌、資料庫憑據和簽名密鑰;啟用敏感變量保護功能;檢查近期部署記錄是否存在異常;更新部署保護設置並輪換相關令牌。若未收到Vercel的主動聯繫,則暫無證據表明賬戶已遭泄露。
Q3:此次事件中的Shinyhunters黑客組織是真實的嗎?
A:目前尚無法確認。雖然有截圖顯示一名威脅行為者在暗網上以200萬美元出售Vercel數據,並聲稱與Shinyhunters有關聯,但Vercel及安全研究人員認為,此人更可能是冒充Shinyhunters以增加可信度的偽裝者,因為借用知名黑客組織名義實施詐騙在此前已有先例。
