ShinyHunter, une équipe de hackers dont l'activité principale est de voler des informations et de lancer des extorsions, a récemment mis hors service la célèbre plateforme de développement cloud Vercel. Après l’attaque de la plateforme, certaines informations sensibles internes et informations clients ont été divulguées. La plate-forme demande actuellement aux clients concernés de procéder immédiatement à la rotation des diverses informations d'identification et de vérifier les journaux d'activité.
Dans un premier temps, Vercel n'a pas annoncé la cause de l'attaque. À cette époque, des rumeurs circulaient selon lesquelles la source provenait de l'outil d'IA Context.ai. Plus tard, Vercel a mis à jour la page des incidents de sécurité pour confirmer cette déclaration. Ses employés ont été compromis à l'aide de Context.AI. Le pirate a utilisé les droits d'accès de l'outil pour contrôler le compte Vercel Google Workspace, puis a utilisé ce compte pour accéder à l'environnement interne.
La capture d'écran montre que Vercel a contacté le pirate informatique via Telegram et lui a demandé de ne publier aucune donnée. Cependant, l'extorsion du pirate informatique est principalement destinée à l'argent. Le pirate informatique veut 2 millions de dollars en échange de la confidentialité des données. On ne sait pas si Vercel fournira une rançon en échange de la confidentialité des données.
Vercel a déclaré que seul un petit nombre de clients étaient concernés :
Dans son point sur l'incident de sécurité, Vercel a souligné que cet incident de sécurité n'avait entraîné que le vol d'un petit nombre de données clients. Elle a désormais contacté ces clients en privé pour renforcer les mesures de sécurité et alterner différents types d'informations d'identification. Vercel a également souligné que les informations internes volées par les pirates n'étaient pas confidentielles car les informations marquées comme sensibles au sein de Vercel n'étaient pas autorisées à être lues, de sorte que les pirates n'ont pas obtenu les informations sensibles de Vercel.
Comment juger si vous avez été attaqué est également très simple. Connectez-vous à la console Google ou Google Workspace et vérifiez si l'application OAuth contient : 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com (les responsables de Google semblent avoir supprimé l'application. Je ne sais pas si je peux consulter l'historique des autorisations)
S'il existe cette application d'autorisation OAuth, cela signifie que l'utilisateur a été piraté. À ce stade, l'utilisateur doit immédiatement alterner toutes les informations d'identification et vérifier les différents services pour détecter tout comportement de connexion anormal, car les pirates peuvent également avoir installé d'autres portes dérobées de persistance en se connectant au serveur via les informations d'identification.
Context.AI n'a pas encore publié de réponse :
Vercel a notifié Context.AI de cet incident de sécurité, mais cette dernière n'a pas encore émis de réponse. Bluedot a vérifié son blog et a découvert que Context.AI avait publié trois blogs hier soir pour présenter d'autres contenus, mais n'avait mentionné aucun contenu lié à la sécurité. On ne sait donc absolument pas comment le pirate informatique a envahi Context.AI.
Par conséquent, il est recommandé aux utilisateurs utilisant Context.AI de vérifier et de faire pivoter immédiatement diverses informations d'identification et de vérifier s'il y a un comportement de connexion anormal. Bien entendu, si vous recherchez une sécurité plus élevée, vous devez directement alterner toutes les informations d’identification même si aucun comportement anormal n’est détecté.
via Vercel