Vercel confirmă că a fost hackată și datele clienților au fost furate printr-un atac de tip supply chain

Vercel, unul dintre cei mai mari furnizori de găzduire pentru aplicații web și platforme de dezvoltare, a anunțat în weekendul trecut că sistemele interne ale companiei au fost compromise printr-un atac cibernetic sofisticat, în urma căruia hackerii au accesat și au furat date sensibile ale clienților, inclusiv chei API, cod sursă și date din baze de date. Conform declarației oficiale ale companiei, atacul a pornit printr-o vulnerabilitate în aplicația Context AI Office Suite, un produs dezvoltat de Context AI, o companie care construiește instrumente de evaluare și analiză pentru modelele de inteligenta artificială. Un angajat al Vercelului a descărcat această aplicație și a conectat-o la contul său corporatist găzduit de Google, prin intermediul mecanismului de autentificare OAuth. Hackerii au exploatat această legătură pentru a preda controlul contului Google al angajatului și, prin extensie, pentru a intra în sistemele interne ale Vercelului. Deși Vercel a precisat că proiectele sale open-source — Next.js și Turbopack — nu au fost afectate, atacul a dus la expunerea de credențiale necriptate, inclusiv chei de acces și tokenuri de autentificare utilizate în implementările de aplicații ale clienților. Compania a confirmat că a contactat direct clienții cuii date și chei au fost compromise și i-a sfătuit să rotească imediat orice credențiale marcate ca „non-sensitive” în implementările lor. Deși Vercel nu a revelat numărul exact de utilizatori afectați, a avertizat că atacul poate avea impact pe „sute de utilizatori din multe organizații”, avertizând despre riscul de breșe în lanț care se pot răspândi în întreaga industrie tehnologică prin intermediul serviciilor de cloud și infrastructurii web ampliamente utilizate. Context AI a confirmat ulterior că a suferit o breșă în martie, legată de aplicația sa consumeră Context AI Office Suite, și a recunoscut că probabil au fost compromisi tokenii OAuth pentru unele utilizatori ai săi. Totuși, compania nu a răspuns la cereri de comentarii și nu a clarificat de ce nu a divulgat breșa la momentul ei, niște detalii care au ridicat întrebări despre transparența și practicile de securitate ale ei. Deși un actor de threat care a postat datele furate pe un forum cibercriminal a afirmat că face parte din grupul de hackeri ShinyHunters — cunoscut pentru atacuri împotriva companilor bazate pe cloud și baze de date — ShinyHunters a negat implicarea în acest incident printr-o declarație făcută site-ului Bleeping Computer. Investigările sunt încă în curs, iar nici Vercel, nici Context AI nu au oferit detalii privind originele exacte ale atacului, motivul pentru care Context AI nu a agi în timp util sau dacă au fost solicitate ransomuri. Totuși, incidentul se inserează într-o tendință alarmantă de atacuri de tip supply chain care țintește dezvoltatorii de software și infrastructurile critice, exploatați înapoi prin intermediul bibliotecilor, framework-urilor și serviciilor de terți ampliamente adoptați. Atacând un singur punct vulnerabil în lanțul de aprovizionare software, hackerii pot obține acces la o gamă largă de sisteme și date, amplificând impactul atacului mult peste organizația inițială visată. Deși Vercel a menționat că a contactat Context AI pentru obținerea de răspunsuri și a inițiat o investigare internă, nu a oferit detalii suplimentare despre măsurile de remediere, timpul de expunere sau măsurile de prevenire viitoare. Incidentul subliniază din nou vulnerabilitățile însecurizate ale ecosistemele de dezvoltare software moderne, unde o singură acțiune — descărcarea unei aplicații de terți și conectarea ei la un cont corporatist — poate duce la compromiterea unei întreze rețele de încredere.