Vercel potvrdio proboj posle kompromitacije spoljnog AI dobavljača
CyberPress prenosi da je Vercel, platforma za razvoj, deployment i zaštitu web aplikacija, potvrdio bezbednosni incident u kome je napadač došao do internih sistema preko kompromitovanog Google Workspace OAuth naloga povezanog sa spoljnim AI alatom Context.ai. Prema navodima kompanije, napadači su potom pristupili pojedinim okruženjima i mogli da čitaju environment varijable koje nisu bile označene kao sensitive. Vercel navodi da za sada nema dokaza da su izložene varijable koje su pravilno obeležene i zaštićene, dok su pogođeni korisnici pojedinačno obavešteni i upućeni na rotaciju kredencijala.
Treća strana sa širokim OAuth pristupom može postati mnogo brži put do internog okruženja nego klasičan direktan napad na samu firmu. Loše obeležene tajne dodatno pogoršavaju situaciju, jer napadaču otvaraju prostor da iz jednog kompromitovanog naloga pređe na širi skup servisa, tokena i automatizacija.
- Pregledati sve OAuth aplikacije povezane sa Google Workspace okruženjem i ukloniti one koje nisu neophodne
- Rotirati environment varijable, API ključeve i tokene koji nisu bili označeni kao sensitive
- Označiti sve tajne i kredencijale odgovarajućim zaštitnim oznakama i proveriti ko im može pristupiti
- Pregledati logove dashboard i CLI aktivnosti zbog sumnjivih izmena, pristupa i deployment događaja
- Pojačati proveru trećih strana koje dobijaju pristup identitetu, pošti i internim razvojnim tokovima