L’intégration compromise de Context.ai permet aux attaquants d’hériter de l’accès des employés de Vercel et d’atteindre les systèmes internes, exposant ainsi un ensemble limité d’informations d’identification des clients.
La plate-forme cloud frontale Vercel, le créateur de Next.js et Turbo.js, a mis en garde contre une violation de données après qu’une application d’IA tierce compromise a abusé d’OAuth pour accéder à ses systèmes internes.
Un employé de Vercel a utilisé l’application tierce, identifiée comme Context.ai, qui a permis aux attaquants de prendre le contrôle de leur compte Google Workspace et d’accéder à certaines variables d’environnement qui, selon l’entreprise, n’étaient pas marquées comme « sensibles ».
« Les variables d’environnement marquées comme « sensibles » dans Vercel sont stockées d’une manière qui empêche leur lecture, et nous n’avons actuellement aucune preuve que ces valeurs ont été consultées », a déclaré Vercel dans un message de sécurité.
L’incident a compromis ce que l’entreprise a décrit comme un « sous-ensemble limité » de clients dont les informations d’identification Vercel ont été exposées. Ces clients ont désormais reçu des demandes de rotation de leurs informations d’identification, a déclaré Vercel.
Selon des informations apparues sur Internet, un acteur malveillant prétendant être les Shinyhunters a commencé à tenter de vendre les données volées, qui comprendraient la clé d’accès, le code source et la base de données privée, avant même que Vercel ne confirme publiquement la violation.
Piratage de l’accès
La divulgation de Vercel a confirmé que le vecteur d’accès initial était Google Workspace OAuth lié à Context.ai. Une fois l’application compromise, les attaquants ont hérité des autorisations qui lui étaient accordées, notamment l’accès au compte de l’employé de Vercel.
« Nous avons engagé Context.ai directement pour comprendre toute la portée du compromis sous-jacent », a déclaré Vercel dans le message. « Nous estimons que l’attaquant est très sophistiqué en fonction de sa rapidité opérationnelle et de sa compréhension détaillée des systèmes de Vercel. Nous travaillons avec Mandiant, d’autres sociétés de cybersécurité, des pairs du secteur et les forces de l’ordre. »
Vercel a exhorté ses clients à examiner les journaux d’activité pour détecter tout comportement suspect et à alterner les variables d’environnement, en particulier les secrets non protégés qui auraient pu être exposés. Il recommande également d’activer la protection des variables sensibles, de vérifier les anomalies dans les déploiements récents et de renforcer les protections en mettant à jour les paramètres de protection du déploiement et en alternant les jetons associés si nécessaire.
Les secrets sensibles, y compris les clés API, les jetons, les informations d’identification de base de données et les clés de signature, qui n’ont pas été marqués comme « sensibles » doivent être traités comme potentiellement exposés et alternés en priorité, a souligné Vercel.
Pour les utilisateurs paniqués, Vercel a proposé un raccourci. « Si vous n’avez pas été contacté, nous n’avons aucune raison de croire que vos informations d’identification Vercel ou vos données personnelles ont été compromises pour le moment », rassure le message.
Apparemment violé par ShinyHunters
Selon des captures d’écran circulant sur Internet, un acteur menaçant a déjà revendiqué la faille sur le dark web et tente de revendre le butin. « Salut à tous, aujourd’hui, je vends une clé d’accès/un code source/une base de données de la société Vercel », a déclaré l’acteur dans l’un de ces messages. « Donnez-moi un devis si vous êtes intéressé. Si c’est bien fait, cela pourrait être la plus grande attaque jamais réalisée contre la chaîne d’approvisionnement. »
Les données ont été vendues pour 2 millions de dollars le 19 avril.
L’acteur malveillant peut être vu en train d’utiliser un domaine « BreachForums » sur la capture d’écran, prétendant (pas explicitement) être Shinyhunters lui-même, l’un des opérateurs du célèbre site de piratage. D’autres cadeaux incluent une chaîne Telegram « @Shinyc0rpsss » et un identifiant de messagerie « shinysevy@tutamail.com » mentionné dans le message.
Bien que des incidents récents aient laissé entendre que ShinyHunters refait surface après des retraits et des arrestations présumées, il reste probable qu’il s’agisse d’un imposteur tirant parti du nom pour conférer de la crédibilité, ce qui a un précédent.
