সংক্ষেপে
- ক্লাউড প্ল্যাটফর্ম Vercel একটি নিরাপত্তা ঘটনার বিস্তারিত প্রকাশ করেছে যা কিছু গ্রাহক শংসাপত্র আপস করেছে।
- কোম্পানির সিইও গুইলেরমো রাউগ প্রকাশ করেছেন যে আক্রমণকারী দলটি "অত্যন্ত পরিশীলিত" ছিল এবং সম্ভবত AI টুল ব্যবহার করেছে।
- অনেক ক্রিপ্টো ফ্রন্টএন্ড তাদের UI হোস্ট করতে Vercel ব্যবহার করে, কোম্পানি অবিলম্বে শংসাপত্র রোটেশনের পরামর্শ দিচ্ছে।
Vercel-এর সিইও বলেছেন যে একটি "অত্যন্ত পরিশীলিত," সম্ভাব্য AI-সহায়তাপ্রাপ্ত হ্যাকিং গ্রুপ সাম্প্রতিক একটি নিরাপত্তা ঘটনার পিছনে ছিল যা অভ্যন্তরীণ সিস্টেমে লঙ্ঘনের পরে কিছু গ্রাহক শংসাপত্র প্রকাশ করেছে।
"আমরা বিশ্বাস করি আক্রমণকারী দলটি অত্যন্ত পরিশীলিত এবং আমি দৃঢ়ভাবে সন্দেহ করি, AI দ্বারা উল্লেখযোগ্যভাবে ত্বরান্বিত," সিইও গুইলেরমো রাউচ টুইট করেছেন, যোগ করে যে আক্রমণকারীরা "আশ্চর্যজনক গতি এবং Vercel সম্পর্কে গভীর উপলব্ধি নিয়ে চলে গেছে।"
কোম্পানি, যা ডেভেলপারদের জন্য একটি ক্লাউড প্ল্যাটফর্ম, রবিবার বলেছে যে এটি নির্দিষ্ট অভ্যন্তরীণ সিস্টেমে অননুমোদিত অ্যাক্সেস সনাক্ত করেছে এবং সক্রিয়ভাবে তদন্ত করছে। ঘটনাটি সীমিত সংখ্যক গ্রাহককে প্রভাবিত করেছে যাদের শংসাপত্র আপস করা হয়েছিল, যা কোম্পানিকে অবিলম্বে শংসাপত্র রোটেশনের পরামর্শ দিতে উদ্বুদ্ধ করেছে।
লঙ্ঘনটি Context.ai-এর আপস থেকে উদ্ভূত হয়েছিল, একটি তৃতীয় পক্ষের AI টুল যা একজন Vercel কর্মচারী ব্যবহার করেছিলেন, যা আক্রমণকারীদের কর্মচারীর Google Workspace অ্যাকাউন্ট দখল করতে এবং কিছু Vercel পরিবেশ এবং অ-সংবেদনশীল পরিবেশ ভেরিয়েবলগুলিতে অ্যাক্সেস পেতে সক্ষম করেছিল।
প্রকাশটি তৃতীয় পক্ষের ইন্টিগ্রেশন এবং AI-চালিত টুলিং দ্বারা সৃষ্ট নিরাপত্তা ঝুঁকি সম্পর্কে ক্রমবর্ধমান উদ্বেগ তুলে ধরে, কারণ আক্রমণকারীরা ক্রমবর্ধমানভাবে সংস্থাগুলির অভ্যন্তরে পা রাখার জন্য সরবরাহ চেইন দুর্বলতা কাজে লাগাচ্ছে।
Vercel এবং ক্রিপ্টো
ন্যাটালি নিউসন, CertiK সিনিয়র ব্লকচেইন নিরাপত্তা গবেষক, Decrypt-কে বলেছেন যে ইভেন্টটি বিশেষভাবে ক্রিপ্টো ডেভেলপারদের মধ্যে জরুরিত্ব সৃষ্টি করেছে। "যেহেতু অনেক ক্রিপ্টো ফ্রন্টএন্ড তাদের UI হোস্ট করতে Vercel ব্যবহার করে, একটি লঙ্ঘন আক্রমণকারীদের একটি ওয়ালেট ড্রেইনার বসাতে দিতে পারে। একটি বিশ্বস্ত পৃষ্ঠার সাথে ইন্টারঅ্যাক্ট করা ব্যবহারকারীরা কোনো দূষিত ঘটনা ঘটার আশা করবেন না," তিনি বলেছেন, যোগ করে যে, "ক্রিপ্টো ক্ষেত্রে শোষণগুলি উল্লেখযোগ্য আর্থিক ক্ষতির কারণ হতে পারে।"
এমনকি যদি স্মার্ট কন্ট্র্যাক্ট নিরাপদ থাকে, ফ্রন্ট এন্ড আপসগুলি এখনও ঝুঁকি তৈরি করে। "ফ্রন্ট এন্ড আপসগুলি শেষ ব্যবহারকারীদের জন্য বিশেষভাবে ক্ষতিকর হতে পারে," তিনি উল্লেখ করেছেন, এপ্রিলে CoW Swap ঘটনার দিকে ইঙ্গিত করে যেখানে একজন ব্যবহারকারী তাদের ওয়ালেট থেকে $316k নিষ্কাশিত দেখেছেন।
তিনি বলেছেন যে এজেন্টিক AI-এর ক্রমবর্ধমান প্রবণতা অনেক ব্যবহারকারীকে উৎপাদনশীলতা উন্নত করতে সর্বশেষ অ্যাপ্লিকেশন এবং এক্সটেনশন পোস্ট করতে পরিচালিত করেছে এবং দূষিত অভিনেতারা এই প্রবণতার সুবিধা নিচ্ছে। "কোম্পানিগুলিকে নতুন AI অ্যাপ্লিকেশন এবং এক্সটেনশন ব্যবহার করার সময় অতিরিক্ত সতর্ক থাকতে হবে এবং অভ্যন্তরীণ নিরাপত্তা মডেলগুলি পর্যালোচনা করতে হবে যাতে একটি লঙ্ঘন ঘটলে প্রভাব যতটা সম্ভব সীমিত থাকে," তিনি বলেছেন।
রাউচ বলেছেন যে আক্রমণটি "একটি সিরিজ কৌশলের" মাধ্যমে উন্মোচিত হয়েছিল যা আপস করা কর্মচারী অ্যাকাউন্ট দিয়ে শুরু হয়েছিল এবং অভ্যন্তরীণ পরিবেশে বৃহত্তর অ্যাক্সেসে বৃদ্ধি পেয়েছিল। যদিও Vercel গ্রাহক পরিবেশ ভেরিয়েবলগুলি এনক্রিপ্ট করে সংরক্ষণ করে, কোম্পানি কিছু ভেরিয়েবলকে অ-সংবেদনশীল হিসাবে চিহ্নিত করার অনুমতি দেয়, যা আক্রমণকারীরা অ্যাক্সেস করতে সক্ষম হয়েছিল।
কোম্পানি বিশ্বাস করে প্রভাবিত গ্রাহকদের সংখ্যা সীমিত এবং বলেছে যে এটি অগ্রাধিকার হিসাবে সম্ভাব্য প্রভাবিতদের সাথে যোগাযোগ করেছে। Vercel এরপর থেকে অতিরিক্ত নিরীক্ষণ এবং সুরক্ষা ব্যবস্থা মোতায়েন করেছে, পাশাপাশি Next.js এবং Turbopack-এর মতো প্রকল্পগুলির নিরাপত্তা নিশ্চিত করতে তার সরবরাহ চেইন পর্যালোচনা করছে।
জন উডস, Nillion-এর সিইও, Decrypt-কে বলেছেন যে "সীমিত উপসেট" সাধারণত মানে পর্যবেক্ষিত প্রভাবিত-গ্রাহক সেট এখন পর্যন্ত সীমিত বলে মনে হচ্ছে, তবে এটি অগত্যা বৃহত্তর অভ্যন্তরীণ আন্দোলন বা বিস্তৃত ডাউনস্ট্রিম ঝুঁকি উড়িয়ে দেয় না। "আধুনিক ক্লাউড প্ল্যাটফর্মগুলিতে, বিস্ফোরণ ব্যাসার্ধ শুধুমাত্র প্রথমে কতজন গ্রাহক দৃশ্যমানভাবে প্রভাবিত হয়েছিল তা নয়, বরং আপস করা সিস্টেমগুলি পর্দার আড়ালে কী পৌঁছাতে পারে তা সম্পর্কে," উডস বলেছেন।
তিনি এই ধরনের পরিস্থিতি এড়াতে কোম্পানিগুলিকে বিভিন্ন সেরা অনুশীলন অনুসরণ করার পরামর্শ দিয়েছেন। "OAuth অনুদান লক ডাউন করুন, সর্বনিম্ন বিশেষাধিকার ব্যবহার করুন, সংবেদনশীল পরিবেশ ভেরিয়েবলের চারপাশে কঠোর নিয়ন্ত্রণ প্রয়োগ করুন, গোপন বা স্বাক্ষর কর্তৃত্ব থেকে ফ্রন্টএন্ড স্থাপনা পৃথক করুন এবং স্থাপনা এবং লগগুলি নিবিড়ভাবে নিরীক্ষণ করুন," তিনি বলেছেন।
"যার শংসাপত্র নেওয়া হতে পারে তাদের জন্য, তাৎক্ষণিক অগ্রাধিকার হল অ্যাক্সেস প্রত্যাহার করা, শংসাপত্র রোটেট করা এবং সেই শংসাপত্রগুলি যে সমস্ত সিস্টেমে পৌঁছাতে পারে তা পর্যালোচনা করা," তিনি যোগ করেছেন, উল্লেখ করে যে, "উচ্চ স্তরে, পাঠ হল এমন স্থাপত্য এড়ানো যেখানে একটি আপস অনেক বেশি পৌঁছাতে পারে।"
আক্রমণের পিছনে কে আছে তা এখনও স্পষ্ট নয়। স্ক্রিনশট সামনে এসেছে যে হ্যাকিং গ্রুপ "ShinyHunters" নামের একজন ব্যবহারকারী একটি ফোরামে দাবি করছে যে তারা Vercel লঙ্ঘন করেছে এবং সোর্স কোড, API কী এবং অভ্যন্তরীণ সিস্টেম সহ কোম্পানির ডেটাতে অ্যাক্সেস বিক্রি করছে।
অভিনেতা, যিনি ShinyHunters ছদ্মবেশ ধারণ করতেও পারেন, দাবি করেছেন যে তিনি কোম্পানির সাথে $2 মিলিয়ন মুক্তিপণের দাবি নিয়ে আলোচনা করেছেন। Vercel সেই দাবিগুলি নিশ্চিত করার অনুরোধে অবিলম্বে প্রতিক্রিয়া জানায়নি।
ডেইলি ডিব্রিফ নিউজলেটার
প্রতিদিন শুরু করুন এখনকার শীর্ষ সংবাদগুলি দিয়ে, পাশাপাশি মূল বৈশিষ্ট্য, একটি পডকাস্ট, ভিডিও এবং আরও অনেক কিছু।
সূত্র: https://decrypt.co/364869/highly-sophisticated-ai-powered-hackers-behind-vercel-breach-ceo
