Vercel دامنه افشای رخداد امنیتی را گسترش داد و گفت حسابهای بیشتری درگیر شدهاند
Vercel روز پنجشنبه اعلام کرد بررسی رخداد امنیتی آوریل گستردهتر شده و اکنون تأیید شده است که تعداد کمی از حسابهای بیشترِ مشتریان نیز در همین رخداد compromised شدهاند. این شرکت همچنین گفت مجموعه کوچک دیگری از حسابهای مشتریان نشانههای compromise داشتهاند که ظاهراً جدا از خودِ breach ماه آوریل بوده است.
این تفاوت مهم است. Vercel نمیگوید سیستمهای داخلیاش از مدتها قبل و به شکل پنهان compromise شده بودند. بلکه میگوید بررسی گستردهتر دو نتیجه داشته است: حسابهای بیشتری که مستقیماً به رخداد آوریل مربوط بودهاند، و compromiseهای جداگانهای در برخی حسابهای مشتریان که به نظر نمیرسد منشأ آنها داخل سیستمهای Vercel باشد. با این حال، این بهروزرسانی برای تیمهایی که از Vercel برای deployment، environment variable و workflowهای production استفاده میکنند هشدار مهمی است.
طبق بولتن رخداد Vercel، نفوذ اولیه پس از compromise شدن Context.ai آغاز شد، یک ابزار AI شخص ثالث که یکی از کارکنان Vercel از آن استفاده میکرد. مهاجم از آن دسترسی برای تصاحب Google Workspace آن کارمند و سپس حساب Vercel او استفاده کرد. بعد از آن، مهاجم در سیستمهای Vercel حرکت کرد تا environment variableهای non-sensitive را فهرست و decrypt کند.
این متغیرها در عمل همچنان بسیار ارزشمند هستند. API key، token، credentials پایگاه داده و signing secretها معمولاً در تنظیمات environment نگهداری میشوند و اگر بهصورت sensitive variable محافظت نشده باشند، ممکن است برای مهاجم قابل خواندن باشند. Vercel میگوید packageهای npm منتشرشده توسط این شرکت compromise نشدهاند، بنابراین ریسک اصلی بیشتر به افشای حساب و secretها مربوط است تا یک سناریوی supply chain.
پیامد بزرگتر برای ارائهدهندگان زیرساخت توسعهدهنده روشن است. پلتفرمهای میزبانی مدرن بسیار نزدیک به سیستمهای production قرار دارند و یک حساب کارمند compromised میتواند در صورت دسترسی گسترده به secretها و permissionها، به مسیری برای ورود به محیط مشتری تبدیل شود. الگوی توصیفشده توسط Vercel و گزارش TechCrunch همچنین نشان میدهد حملات infostealer و سوءاستفاده از OAuth در ابزارهای AI و workflowهای توسعه به ریسک مهمتری تبدیل شدهاند.
Vercel میگوید به مشتریان affected اطلاع داده، محافظتهای جدیدی برای environment variableها اضافه کرده و از کاربران خواسته است credentials را rotate کنند، activity logها را بررسی کنند و MFA قویتری فعال کنند. همانطور که TechCrunch ابتدا گزارش داد و بولتن امنیتی خودِ Vercel توضیح میدهد، شرکت هنوز تعداد دقیق مشتریان affected را اعلام نکرده، اما این بهروزرسانی مهم است چون نشان میدهد دامنه رخداد از چیزی که ابتدا تأیید شده بود گستردهتر بوده و شاید قربانیان بیشتری نیز بعداً مشخص شوند.
Originally reported by TechCrunch. Read the original article for additional details.
View original source