開發者工具提供商Vercel Inc.近日披露,黑客成功入侵其系統並竊取了少量客戶數據。
該公司於周日晚間正式公開了此次安全事件。
Vercel去年估值達93億美元,主要為開發者提供構建網頁應用程序的工具,同時運營可用於託管應用的雲基礎設施。該公司的產品體系以流行的開源開發框架Node.js為核心支撐。
據Vercel發布的安全公告,此次數據泄露事件的起點是一款名為Context.ai的第三方產品。Context.ai是一個利用人工智慧自動處理企業事務的雲平台,支持與Google Workspace等第三方服務集成。根據安全公告,黑客首先攻破了Context.ai,隨後藉此登錄了Vercel一名員工的Google Workspace賬戶。
通過該被盜賬戶,攻擊者獲取了部分客戶的環境變量訪問權限。在Vercel的部署體系中,環境變量是儲存單條資訊的數據結構,其內容可能涉及資料庫密碼或加密密鑰等敏感資訊。
Vercel為客戶提供了一項名為"敏感環境變量"的安全防護功能。官方表示,本次泄露僅涉及未啟用該功能的數據項。受影響客戶此前選擇不啟用該功能,這在一定程度上說明被泄露的數據可能並不重要,有助於降低此次事件的整體影響。不過,也不排除部分受影響用戶只是遺忘了開啟該功能。
Vercel估計此次受影響的客戶數量"相當有限",但同時指出,Context.ai的其他用戶也可能受到波及。
風險投資支持的網路安全公司Expel Inc.高級威脅情報分析師Aaron Walton表示:"Hudson Rock已掌握將Context.ai數據泄露事件與資訊竊取惡意軟體關聯的證據,並鎖定了'零號病人'的可能入口。資訊竊取類惡意軟體已成為當今企業面臨的最嚴峻威脅之一。"
據報道,從Vercel竊取的數據包含數百名員工的相關資訊。黑客還獲取了多個應用程序編程接口(API)密鑰,這些密鑰的作用類似於賬戶密碼,其中部分API密鑰據報與GitHub代碼倉庫存在關聯。
Vercel員工參與維護Node.js在GitHub上的代碼倉庫,該框架是支撐公司整個產品線的核心技術。此外,Vercel還維護著多個其他開源項目。一旦開源項目遭到入侵,黑客便可藉此發動供應鏈攻擊,進而威脅到大量開發者的系統安全。
Vercel首席執行官Guillermo Rauch在X平台發文,向用戶保證:"我們已對供應鏈進行了全面分析,確認Next.js、Turbopack及眾多開源項目對社區用戶依然安全。"他還透露,公司已聘請谷歌旗下的Mandiant網路安全服務團隊協助調查此次事件。
Vercel建議客戶及時更換非敏感環境變量,並提醒管理員審查活動日誌,排查潛在的惡意操作跡象。作為事件響應措施的一部分,Vercel已上線一個全新管理面板,幫助客戶更便捷地管理和監控環境變量。
Q&A
Q1:Vercel此次數據泄露事件是如何發生的?
A:此次泄露的起點是第三方平台Context.ai遭到黑客攻擊。黑客通過入侵Context.ai,成功登錄了Vercel一名員工的Google Workspace賬戶,進而獲取了部分客戶的環境變量數據,其中可能包含資料庫密碼、加密密鑰等敏感資訊,同時還竊取了數百名員工的相關資訊及部分API密鑰。
Q2:Vercel的"敏感環境變量"功能是什麼?能防止此次泄露嗎?
A:Vercel的"敏感環境變量"功能是專為保護重要數據而設計的安全特性。根據官方公告,此次泄露的數據僅限於未啟用該功能的環境變量。也就是說,凡是提前開啟了該功能的客戶,其對應數據在本次事件中得到了有效保護,未受波及。
Q3:Vercel泄露事件對開源項目有哪些潛在威脅?
A:由於黑客獲取的API密鑰部分與GitHub倉庫關聯,而Vercel員工又參與維護Node.js等開源項目,這意味著攻擊者理論上可能藉此發動供應鏈攻擊,進而影響到使用這些開源框架的大量開發者。不過,Vercel CEO已公開表示,經過全面排查,Next.js、Turbopack及其他開源項目目前仍處於安全狀態。
