ShinyHunter, uma equipe de hackers cujo principal negócio é roubar informações e lançar extorsão, derrubou recentemente a conhecida plataforma de desenvolvimento em nuvem Vercel. Depois que a plataforma foi atacada, algumas informações confidenciais internas e de clientes vazaram. A plataforma está atualmente notificando os clientes afetados para alternar imediatamente várias credenciais e verificar os registros de atividades.
Inicialmente, Vercel não divulgou a causa do ataque. Naquela época, corriam rumores de que a fonte vinha da ferramenta de IA Context.ai. Posteriormente, Vercel atualizou a página de incidentes de segurança para confirmar esta afirmação. Seus funcionários foram comprometidos usando Context.AI. O hacker usou os direitos de acesso da ferramenta para controlar a conta Vercel Google Workspace e, em seguida, usou essa conta para entrar no ambiente interno.
A captura de tela mostra que Vercel entrou em contato com o hacker por meio do Telegram e pediu ao hacker que não publicasse nenhum dado. No entanto, a extorsão do hacker é principalmente por dinheiro. O hacker quer US$ 2 milhões em troca da confidencialidade dos dados. Não está claro se a Vercel fornecerá resgate em troca da confidencialidade dos dados.
Vercel disse que apenas um pequeno número de clientes foi afetado:
Em sua atualização sobre incidentes de segurança, Vercel enfatizou que esse incidente de segurança resultou apenas no roubo de um pequeno número de dados de clientes. Agora entrou em contato com esses clientes em particular para fortalecer as medidas de segurança e alternar vários tipos de credenciais. Vercel também enfatizou que as informações internas roubadas pelos hackers não eram confidenciais porque as informações marcadas como sensíveis dentro da Vercel não podiam ser lidas, portanto os hackers não obtiveram as informações confidenciais da Vercel.
Como avaliar se você foi atacado também é muito simples. Faça login no console do Google ou Google Workspace e verifique se o aplicativo OAuth contém: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com (funcionários do Google parecem ter excluído o aplicativo. Não sei se consigo visualizar o histórico de autorização)
Se houver este aplicativo de autorização OAuth, significa que o usuário foi hackeado. Neste momento, o usuário deve alternar imediatamente todas as credenciais e verificar vários serviços quanto a comportamento anormal de login, porque os hackers também podem ter instalado outros backdoors de persistência fazendo login no servidor por meio de credenciais.
Context.AI ainda não postou uma resposta:
A Vercel notificou a Context.AI sobre este incidente de segurança, mas esta ainda não emitiu qualquer resposta. Bluedot verificou seu blog e descobriu que o Context.AI publicou três blogs ontem à noite para apresentar outro conteúdo, mas não mencionou nenhum conteúdo relacionado à segurança, então não está completamente claro como o hacker invadiu o Context.AI.
Portanto, é recomendado que os usuários que usam o Context.AI também verifiquem e alternem imediatamente várias credenciais e verifiquem se há algum comportamento anormal de login. Obviamente, se você busca maior segurança, deverá alternar diretamente todas as credenciais, mesmo que nenhum comportamento anormal seja encontrado.
via Vercel