A plataforma de nuvem frontend Vercel, criadora de Next.js e Turbo.js, alertou sobre uma violação de dados depois que um aplicativo de IA de terceiros comprometido abusou do OAuth para acessar seus sistemas internos.

Um funcionário da Vercel usou o aplicativo de terceiros, identificado como Context.ai, que permitiu aos invasores assumir o controle de sua conta do Google Workspace e acessar algumas variáveis ​​de ambiente que a empresa disse não terem sido marcadas como “confidenciais”.

“As variáveis ​​de ambiente marcadas como ‘sensíveis’ no Vercel são armazenadas de uma maneira que impede sua leitura e atualmente não temos evidências de que esses valores foram acessados”, disse Vercel em uma postagem de segurança.

O incidente comprometeu o que a empresa descreveu como um “subconjunto limitado” de clientes cujas credenciais da Vercel foram expostas. Esses clientes agora foram contatados com solicitações de rotação de suas credenciais, disse Vercel.

De acordo com relatos que surgiram na Internet, um agente de ameaça que afirma ser os Shinyhunters começou a tentar vender os dados roubados, que supostamente incluem chave de acesso, código-fonte e banco de dados privado, mesmo antes de Vercel confirmar publicamente a violação.

Hackeando o acesso

A divulgação da Vercel confirmou que o vetor de acesso inicial era o Google Workspace OAuth vinculado ao Context.ai. Uma vez comprometido o aplicativo, os invasores herdaram as permissões concedidas a ele, incluindo o acesso à conta do funcionário da Vercel.

Ainda não está claro se a infraestrutura da Context.ai foi comprometida, se os tokens OAuth foram roubados ou se um vazamento de sessão/token dentro do espaço de trabalho de IA permitiu que invasores abusassem do acesso autenticado aos ambientes da Vercel. A Context.ai não respondeu imediatamente ao pedido de comentários da CSO.

“Entramos diretamente com a Context.ai para compreender todo o escopo do compromisso subjacente”, disse Vercel no post. “Avaliamos o invasor como altamente sofisticado com base em sua velocidade operacional e compreensão detalhada dos sistemas da Vercel. Estamos trabalhando com a Mandiant, outras empresas de segurança cibernética, colegas do setor e autoridades policiais.”

A Vercel instou seus clientes a revisar os logs de atividades em busca de comportamento suspeito e a alternar variáveis ​​de ambiente, especialmente quaisquer segredos desprotegidos que possam ter sido expostos. Também recomendou a ativação de proteções variáveis ​​sensíveis, a verificação de anomalias nas implantações recentes e o fortalecimento das salvaguardas, atualizando as configurações de proteção de implantação e alternando os tokens relacionados quando necessário.

Segredos confidenciais, incluindo chaves de API, tokens, credenciais de banco de dados e chaves de assinatura que não foram marcadas como “confidenciais”, devem ser tratados como potencialmente expostos e rotacionados como prioridade, enfatizou Vercel.

Para usuários em pânico, Vercel ofereceu um atalho. “Se você não foi contatado, não temos motivos para acreditar que suas credenciais Vercel ou dados pessoais tenham sido comprometidos neste momento”, tranquilizou o post.

Supostamente violado por ShinyHunters

De acordo com capturas de tela que circulam na internet, um agente de ameaça já reivindicou a violação na dark web e está tentando vender os despojos. “Saudações a todos, hoje estou vendendo chave de acesso/código-fonte/banco de dados da empresa Vercel”, disse o ator em uma dessas postagens. “Dê-me uma cotação se estiver interessado. Este pode ser o maior ataque à cadeia de suprimentos de todos os tempos, se for bem feito.”

Os dados foram apresentados por US$ 2 milhões em 19 de abril.

O ator da ameaça pode ser visto usando um domínio “BreachForums” na captura de tela, alegando (não explicitamente) ser o próprio Shinyhunters, um dos operadores do notório hacksite. Outros brindes incluem um canal Telegram “@Shinyc0rpsss” e um ID de e-mail “[email protected]” mencionado na postagem.

Embora incidentes recentes tenham sugerido o ressurgimento dos ShinyHunters após quedas e supostas prisões, ainda é provável que se trate de um impostor que aproveita o nome para dar credibilidade, algo que tem precedentes.

Juliana Ribeiro
Juliana Ribeiro

Juliana Ribeiro é uma respeitada e talentosa redatora que trabalha do Tudo SEO. Com um profundo entendimento das nuances do SEO e seu impacto na visibilidade digital, Juliana usa sua expertise para educar e inspirar os leitores.

Entrando na indústria da escrita como redatora freelancer, ela rapidamente subiu na hierarquia para se tornar uma voz confiável no campo do SEO. Sua jornada na revista é marcada por muitos artigos perspicazes que ajudaram muitas empresas a entender melhor e aproveitar o SEO para melhorar sua visibilidade online.

Juliana também dedicou uma grande parte de seu tempo para estudar as últimas tendências em SEO e manter-se atualizada sobre todas as mudanças no algoritmo do Google. Através de seu trabalho, ela se esforça para quebrar conceitos complexos em ideias fáceis de entender para profissionais de marketing de todos os níveis.