O CEO da Vercel, Guillermo Rauch, publicou no X a 22 de abril, no fuso horário do Pacífico dos EUA, um ponto de situação sobre uma investigação de segurança, afirmando que a equipa de investigação já processou quase 1 PB de registos de toda a rede e da API da Vercel, e que o âmbito da investigação é muito mais vasto do que o incidente de invasão da Context.ai. Rauch afirmou que os atacantes, ao espalhar malware pelos computadores, furtaram as chaves da conta da Vercel; já foram notizadas as vítimas.
Vetores de ataque e padrões de comportamento: detalhes da investigação
De acordo com a página da investigação de segurança da Vercel e com as publicações públicas de Guillermo Rauch no X, este incidente teve origem numa aplicação OAuth do Google Workspace de uma ferramenta de IA de terceiros, a Context.ai, utilizada por um funcionário da Vercel. Os atacantes, através do acesso obtido por essa ferramenta, foram progressivamente chegando às contas Google Workspace pessoais do funcionário e às contas da Vercel; depois, ao entrar no ambiente da Vercel, enumeraram sistematicamente e desencriptaram variáveis de ambiente não sensíveis.
Rauch indicou, nas suas publicações no X, que os registos mostram que, após obter as chaves, os atacantes realizam imediatamente chamadas de API rápidas e abrangentes, com foco na enumeração de variáveis de ambiente não sensíveis, formando um padrão de comportamento reconhecível de forma repetida. A Vercel avaliou que os atacantes tinham conhecimento profundo sobre a interface de APIs do produto Vercel, com um nível técnico muito elevado.
Novas conclusões após o alargamento da investigação e colaboração na indústria
De acordo com a atualização de segurança da Vercel de 22 de abril, após o alargamento da investigação foram confirmadas duas novas conclusões:
· Foi identificada a invasão de um pequeno número de outras contas neste incidente; os clientes afetados foram notificados
· Foi identificado que algumas contas de clientes têm registos de invasões anteriores não relacionados com este incidente; presume-se que tenham origem em engenharia social, malware ou outros meios; os clientes em causa foram notificados
A Vercel aprofundou a colaboração com parceiros do setor, incluindo a Microsoft, a AWS e a Wiz, e está a colaborar na investigação com a Google Mandiant e com as autoridades policiais.
De acordo com a atualização de segurança da Vercel de 20 de abril, a equipa de segurança da Vercel e a GitHub, a Microsoft, a npm e a Socket cooperaram para confirmar que todos os pacotes npm publicados pela Vercel não foram afetados, sem indícios de adulteração, e que a avaliação de segurança da cadeia de fornecimento está em conformidade. A Vercel também divulgou indicadores de comprometimento (IOC) para verificação pela comunidade, incluindo o ID da aplicação OAuth relevante: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com; a Vercel recomenda que os administradores do Google Workspace confirmem se utilizaram a aplicação acima referida.
Perguntas frequentes
Qual é o vetor de ataque fundamental deste incidente de segurança da Vercel?
De acordo com a página da investigação de segurança da Vercel, o incidente teve origem numa aplicação OAuth do Google Workspace de uma ferramenta de IA de terceiros, a Context.ai, utilizada por um funcionário da Vercel. Os atacantes, através do acesso obtido por essa ferramenta, obtiveram progressivamente a conta da Vercel do funcionário e, ao entrar no ambiente da Vercel, enumeraram e desencriptaram variáveis de ambiente não sensíveis.
O âmbito do ataque confirmado pelo CEO da Vercel já ultrapassou o incidente inicial da Context.ai?
De acordo com a publicação pública de Guillermo Rauch no X em 22 de abril, no fuso horário do Pacífico dos EUA, a informação sobre ameaças indica que as atividades do atacante ultrapassaram o âmbito único de intrusão da Context.ai; através de malware, foram furtadas chaves de acesso de vários prestadores de serviços numa rede mais ampla, e outros supostos afetados já foram notificados para alternar as credenciais.
Os pacotes npm publicados pela Vercel foram afetados por este incidente de segurança?
De acordo com a atualização de segurança da Vercel de 20 de abril, a equipa de segurança da Vercel, em colaboração com a GitHub, a Microsoft, a npm e a Socket, confirmou que todos os pacotes npm publicados pela Vercel não foram afetados, sem indícios de adulteração, e que a avaliação de segurança da cadeia de fornecimento é normal.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
