Furnizorul de hosting Vercel, compromis printr-o breșă la Context AI: datele unor clienți și chei de acces au ajuns pe forumuri clandestine

Compania Vercel, unul dintre cei mai mari furnizori de servicii de găzduire pentru aplicații cloud, a anunțat în acest weekend că hackerii i-au compromis sistemele interne și au accesat date ale clienților. Atacatorii susțin că au furat credențiale sensibile din infrastructura Vercel și că vând aceste date pe internet.

Într-o declarație făcută duminică, Vercel a precizat că incidentul de securitate își are originea la un alt producător de software, Context AI. Un angajat al Vercel a descărcat o aplicație creată de Context AI și a conectat-o la contul său corporativ găzduit de Google. Prin această conexiune, cunoscută drept OAuth, hackerii au reușit să preia controlul asupra contului Google al angajatului Vercel și, ulterior, să pătrundă în anumite sisteme interne ale companiei, inclusiv la unele credențiale care nu erau criptate.

Vercel a subliniat că proiectele sale Next.js și Turbopack nu au fost afectate de această breșă. Aceste două proiecte open-source sunt utilizate pe scară largă de dezvoltatorii de aplicații și de pagini web, fiind esențiale pentru multe fluxuri moderne de dezvoltare.

Conducerea Vercel a anunțat că a contactat direct clienții ale căror date de aplicații și chei de acces au fost compromise, pentru a le oferi detalii și recomandări privind măsurile imediate necesare.

Într-o postare pe platforma X, directorul executiv al Vercel, Guillermo Rauch, le-a recomandat clienților să rotească orice chei și credențiale din implementările aplicațiilor lor care sunt marcate drept „non-sensitive”. Recomandarea vizează reducerea riscului ca aceste date, chiar dacă sunt considerate mai puțin critice, să fie exploatate în atacuri ulterioare.

Nu este clar deocamdată cine se află în spatele breșei de la Vercel sau de la Context AI și nici dacă vorbim despre același actor malițios. Persoana sau grupul care vinde datele a pretins, într-un anunț publicat pe un forum cibernetic clandestin, că reprezintă gruparea de hacking ShinyHunters. În anunț se susține că ar fi de vânzare acces la chei API ale clienților, cod sursă, precum și date de baze de date furate din sistemele Vercel.

Gruparea ShinyHunters, cunoscută pentru atacuri îndreptate împotriva companiilor ce utilizează masiv infrastructuri cloud și baze de date, a declarat însă pentru un site specializat în securitate cibernetică faptul că nu este implicată în acest incident. Această poziție ridică semne de întrebare atât cu privire la identitatea reală a atacatorilor, cât și la credibilitatea anunțului de pe forumul infracțional.

Detaliile privind atacul sunt încă în curs de clarificare. Totuși, incidentul se înscrie într-un șir tot mai lung de atacuri de tip „supply chain” din ultimele luni. Acestea vizează dezvoltatori de software și instrumente folosite pe scară largă pe internet. Prin compromiterea unor componente utilizate de numeroase companii și integrate în infrastructura web, hackerii pot fura rapid credențiale de la o gamă foarte variată de ținte, obținând acces extins la volume mari de date stocate la diferiți furnizori cloud.

Vercel nu a oferit foarte multe alte detalii despre atac, precizând doar că investighează în mod activ incidentul și că a solicitat explicații suplimentare de la Context AI. Compania a avertizat că breșa ar putea afecta „sute de utilizatori din numeroase organizații”, și nu doar infrastructura proprie, existând riscul unor compromisuri în lanț la nivelul industriei tehnologice.

Context AI, companie care dezvoltă soluții de evaluare și analitică pentru modele de inteligență artificială, a confirmat pe site-ul său că a înregistrat, în luna martie, o breșă ce a implicat aplicația sa pentru consumatori Context AI Office Suite. Această aplicație permite automatizarea acțiunilor și a fluxurilor de lucru între mai multe aplicații terțe, prin intermediul unui serviciu terț al cărui nume nu a fost făcut public.

Potrivit Context AI, inițial a fost notificat un singur client în legătură cu incidentul. În lumina informațiilor dezvăluite de Vercel, compania apreciază acum că amploarea breșei este probabil mai mare decât se credea. Context AI a admis că hackerii „probabil au compromis token-urile OAuth pentru unii dintre utilizatorii noștri de tip consumer”.

Context AI nu a răspuns solicitărilor de comentarii și clarificări suplimentare privind incidentul. Nu este clar de ce compania nu a dezvăluit public breșa la momentul producerii ei sau dacă a primit vreo solicitare din partea atacatorilor, de exemplu o cerere de răscumpărare. Rămâne de văzut dacă vor fi făcute publice ulterior condițiile și contextul exacte ale atacului.

Nici Vercel nu a răspuns la întrebări detaliate despre incident, cum ar fi numărul exact de clienți afectați sau natura completă a datelor compromise, ceea ce lasă încă multe semne de întrebare privind consecințele pe termen lung.

Textul inițial al relatării a fost corectat pentru a elimina o referință la o altă companie cu nume similar, Context AI, ale cărei echipe au fost preluate anterior de OpenAI, dar care nu are legătură cu acest incident.