In het kort
- Cloudplatform Vercel heeft details bekendgemaakt over een beveiligingsincident waarbij enkele klantgegevens zijn gecompromitteerd.
- De CEO van het bedrijf, Guillermo Raugh, onthulde dat de aanvallende groep "zeer geavanceerd" was en waarschijnlijk AI-tools gebruikte.
- Veel crypto-frontends gebruiken Vercel om hun UI te hosten, waarbij het bedrijf adviseert om onmiddellijk wachtwoorden te roteren.
De CEO van Vercel zei dat een "zeer geavanceerde", mogelijk AI-ondersteunde hackersgroep achter een recent beveiligingsincident zat waarbij enkele klantgegevens werden blootgesteld na een inbreuk op interne systemen.
"We geloven dat de aanvallende groep zeer geavanceerd is en ik vermoed sterk dat ze aanzienlijk werden versneld door AI," twitterde CEO Guillermo Rauch, en voegde eraan toe dat de aanvallers "zich met verrassende snelheid en een diepgaand begrip van Vercel bewogen."
Het bedrijf, dat een cloudplatform voor ontwikkelaars is, zei zondag dat het ongeautoriseerde toegang tot bepaalde interne systemen had geïdentificeerd en actief aan het onderzoeken was. Het incident trof een beperkte subset van klanten wiens inloggegevens waren gecompromitteerd, wat het bedrijf ertoe aanzette om onmiddellijke rotering van inloggegevens aan te bevelen.
De inbreuk ontstond door de compromittering van Context.ai, een AI-tool van een derde partij die door een Vercel-medewerker werd gebruikt, waardoor aanvallers het Google Workspace-account van de medewerker konden overnemen en toegang kregen tot sommige Vercel-omgevingen en niet-gevoelige omgevingsvariabelen.
De openbaarmaking benadrukt de groeiende zorgen over de beveiligingsrisico's die worden veroorzaakt door integraties van derden en AI-aangedreven tools, aangezien aanvallers steeds vaker kwetsbaarheden in de toeleveringsketen uitbuiten om voet aan de grond te krijgen binnen organisaties.
Vercel en crypto
Natalie Newson, senior blockchain beveiligingsonderzoeker bij CertiK, vertelde Decrypt dat de gebeurtenis specifiek urgentie heeft veroorzaakt onder crypto-ontwikkelaars. "Omdat veel crypto-frontends Vercel gebruiken om hun UI te hosten, kan een inbreuk aanvallers in staat stellen een wallet drainer te implanteren. Gebruikers die interactie hebben met een vertrouwde pagina zullen niet verwachten dat er iets kwaadaardigs gebeurt," zei ze, en voegde eraan toe dat "exploits in de cryptoruimte tot aanzienlijke financiële verliezen kunnen leiden."
Zelfs als smart contracts veilig blijven, vormen front-end compromissen nog steeds risico's. "Front-end compromissen kunnen bijzonder schadelijk zijn voor eindgebruikers," merkte ze op, verwijzend naar het CoW Swap-incident in april waarbij één gebruiker $316.000 uit hun wallet zag verdwijnen.
Ze zei dat de stijgende trend van agentische AI ertoe heeft geleid dat veel gebruikers de nieuwste apps en extensies posten om de productiviteit te verbeteren en dat kwaadwillende actoren van deze trend profiteren. "Bedrijven moeten extra voorzichtig zijn bij het gebruik van nieuwe AI-apps en extensies, terwijl ze interne beveiligingsmodellen herzien om ervoor te zorgen dat als een inbreuk plaatsvindt, de impact zo beperkt mogelijk blijft," zei ze.
Rauch zei dat de aanval zich ontvouwde door "een reeks manoeuvres" die begonnen met het gecompromitteerde werknemersaccount en escaleerden naar bredere toegang tot interne omgevingen. Hoewel Vercel klantomgevingsvariabelen versleuteld opslaat in rust, staat het bedrijf toe dat sommige variabelen als niet-gevoelig worden gemarkeerd, waartoe de aanvallers toegang konden krijgen.
Het bedrijf gelooft dat het aantal getroffen klanten beperkt is en zei dat het als prioriteit contact heeft opgenomen met degenen die mogelijk getroffen zijn. Vercel heeft sindsdien extra monitoring- en beschermingsmaatregelen ingezet, terwijl het ook zijn toeleveringsketen herziet om de veiligheid van projecten zoals Next.js en Turbopack te waarborgen.
John Woods, CEO van Nillion, vertelde Decrypt dat "beperkte subset" meestal betekent dat de geobserveerde set getroffen klanten tot nu toe beperkt lijkt, maar dat dit niet noodzakelijkerwijs bredere interne beweging of groter downstream-risico uitsluit. "In moderne cloudplatforms gaat de explosieradius niet alleen over hoeveel klanten aanvankelijk zichtbaar werden getroffen, maar ook over wat de gecompromitteerde systemen achter de schermen konden bereiken," zei Woods.
Hij adviseerde bedrijven om een verscheidenheid aan best practices te volgen om dit soort situaties te voorkomen. "Vergrendel OAuth-toekenningen, gebruik minimale privileges, handhaaf strikte controles rond gevoelige omgevingsvariabelen, scheid frontend-implementatie van geheime of ondertekeningsautoriteit, en monitor implementaties en logs nauwlettend," zei hij.
"Voor iedereen wiens inloggegevens mogelijk zijn gestolen, is de onmiddellijke prioriteit om toegang in te trekken, inloggegevens te roteren en elk systeem dat die inloggegevens konden bereiken te herzien," voegde hij eraan toe, en merkte op dat "op een hoger niveau de les is om architecturen te vermijden waarbij één compromis te veel kan bereiken."
Het is nog niet duidelijk wie achter de aanval zit. Er zijn screenshots opgedoken van een gebruiker met de naam van de hackersgroep "ShinyHunters" die op een forum beweert Vercel te hebben geschonden en toegang tot bedrijfsgegevens te verkopen, inclusief broncode, API-sleutels en interne systemen.
De actor, die mogelijk ook ShinyHunters imiteert, beweerde ook een losgeldeis van $2 miljoen met het bedrijf te hebben besproken. Vercel reageerde niet onmiddellijk op een verzoek om die beweringen te bevestigen.
Daily Debrief Nieuwsbrief
Begin elke dag met de belangrijkste nieuwsberichten van nu, plus originele features, een podcast, video's en meer.
Bron: https://decrypt.co/364869/highly-sophisticated-ai-powered-hackers-behind-vercel-breach-ceo
