Vercel élargit son bilan de sécurité et ajoute d'autres comptes clients touchés
Vercel a indiqué jeudi que son enquête sur l'incident de sécurité d'avril s'était élargie et qu'un petit nombre supplémentaire de comptes clients était désormais confirmé comme compromis dans le cadre de cet incident. L'entreprise a aussi expliqué avoir identifié un autre petit groupe de comptes clients présentant des signes de compromise qui semblent distincts du breach d'avril lui-même.
Cette nuance est importante. Vercel ne dit pas que ses systèmes internes étaient compromis en silence depuis plus longtemps que prévu. L'entreprise dit plutôt que son examen élargi a produit deux conclusions: davantage de comptes affectés liés à l'incident d'avril, et des compromissions séparées sur certains comptes clients qui ne semblent pas avoir pris naissance dans les systèmes de Vercel. Malgré cela, la mise à jour augmente clairement le niveau d'alerte pour les équipes qui utilisent Vercel pour les deployments, les environment variables et les workflows de production.
D'après le bulletin de sécurité de Vercel, l'intrusion initiale a commencé après la compromission de Context.ai, un outil AI tiers utilisé par un employé de Vercel. Cet accès a servi à prendre le contrôle du compte Google Workspace de l'employé, puis de son compte Vercel. À partir de là, les attaquants ont circulé dans les systèmes de Vercel pour énumérer et déchiffrer des environment variables classées non-sensitive.
Ces variables peuvent pourtant avoir une grande valeur pratique. Des API keys, tokens, identifiants de base de données et secrets de signature se retrouvent souvent dans la configuration d'environnement et, s'ils n'étaient pas protégés comme sensitive variables, ils ont pu devenir lisibles pour un attaquant. Vercel affirme que les paquets npm publiés par l'entreprise n'ont pas été compromis, ce qui écarte pour l'instant un scénario de supply chain et recentre le risque sur l'exposition de comptes et de secrets.
L'enjeu dépasse le seul cas Vercel. Les plateformes d'hébergement pour développeurs se trouvent tout près des systèmes de production, et un seul compte employé compromis peut devenir une porte d'entrée vers des environnements clients si les secrets et permissions sont trop largement exposés. Le schéma décrit par Vercel et rapporté par TechCrunch souligne aussi la montée du risque lié aux attaques de type infostealer et aux abus d'OAuth autour des outils AI et des workflows développeur.
Vercel dit avoir averti les clients concernés, ajouté de nouvelles protections pour les environment variables et demandé aux utilisateurs de faire tourner leurs identifiants, de revoir les journaux d'activité et d'activer une MFA plus forte. Comme l'a d'abord rapporté TechCrunch et comme le détaille le bulletin de Vercel, l'entreprise n'a pas indiqué combien de clients sont concernés, mais cette mise à jour compte parce qu'elle montre que l'incident a touché plus de comptes qu'initialement confirmé et pourrait encore révéler d'autres victimes.
Originally reported by TechCrunch. Read the original article for additional details.
View original source