El proveedor de infraestructura web Vercel ha revelado una violación de seguridad que permitió a partes malintencionadas obtener acceso no autorizado a «ciertos» sistemas internos de Vercel.
El incidente se debió a una violación de Context.ai, una herramienta de inteligencia artificial (IA) de terceros utilizada por los empleados de la empresa.
«El atacante utilizó ese acceso para apoderarse de la cuenta Vercel Google Workspace del empleado, lo que le permitió acceder a algunos entornos de Vercel y variables de entorno que no estaban marcadas como ‘sensibles'», dijo la compañía en un boletín.
Vercel dijo que las variables de entorno marcadas como «sensibles» se almacenan de forma cifrada para que no puedan leerse, y actualmente no hay evidencia que sugiera que un atacante haya accedido a sus valores.
El periódico describió a los atacantes detrás del incidente como «sofisticados» basándose en su «velocidad de operación y comprensión detallada del sistema Vercel». La compañía también dijo que está trabajando con Mandiant de Google y otras compañías de ciberseguridad, además de informar a las autoridades y trabajar con Context.ai para comprender mejor el alcance total de la violación.
Se dijo que una «porción limitada» de sus clientes había visto sus credenciales comprometidas, y Vercel se comunicó con ellos directamente y los instó a rotar sus credenciales de inmediato. La empresa continúa investigando qué datos se vieron comprometidos y se comunicará con los clientes si encuentra más evidencia de una violación.
Vercel también recomienda a los administradores de Google Workspace y a los titulares de cuentas de Google que revisen las siguientes aplicaciones OAuth:
110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com
Se recomiendan las siguientes mejores prácticas para una mitigación adicional:
Vercel aún no ha publicado detalles como qué sistemas se vieron comprometidos, cuántos clientes se vieron afectados o quién estaba detrás de esto, pero un atacante que utilizaba la personalidad de ShinyHunters se atribuyó la responsabilidad del ataque y vendió los datos robados por un precio inicial de 2 millones de dólares.
«Hemos implementado amplias salvaguardias y monitoreo. Hemos analizado nuestra cadena de suministro y nos aseguramos de que Next.js, Turbopack y nuestros numerosos proyectos de código abierto sean seguros para nuestra comunidad», dijo el CEO de Vercel, Guillermo Rauch, en una publicación en X.
«En respuesta, ya estamos implementando nuevas funciones en el panel, incluida una página de descripción general de las variables de entorno y una mejor interfaz de usuario para crear y gestionar variables de entorno sensibles, para ayudar a mejorar la postura de seguridad de todos nuestros clientes».
Source link
