Ringkasan Singkat
- Platform cloud Vercel telah mengungkapkan detail insiden keamanan yang mengompromikan beberapa kredensial pelanggan.
- CEO perusahaan Guillermo Raugh mengungkapkan bahwa kelompok penyerang "sangat canggih" dan kemungkinan menggunakan alat AI.
- Banyak frontend kripto menggunakan Vercel untuk menghosting UI mereka, dengan perusahaan menyarankan rotasi kredensial segera.
CEO Vercel mengatakan kelompok peretas "sangat canggih," yang mungkin dibantu AI berada di balik insiden keamanan baru-baru ini yang mengekspos beberapa kredensial pelanggan setelah pelanggaran sistem internal.
"Kami percaya kelompok penyerang sangat canggih dan, saya sangat curiga, dipercepat secara signifikan oleh AI," tweet CEO Guillermo Rauch, menambahkan bahwa para penyerang "bergerak dengan kecepatan mengejutkan dan pemahaman mendalam tentang Vercel."
Perusahaan, yang merupakan platform cloud untuk pengembang, mengatakan Minggu telah mengidentifikasi akses tidak sah ke sistem internal tertentu dan sedang aktif menyelidiki. Insiden tersebut mempengaruhi sebagian kecil pelanggan yang kredensialnya dikompromikan, mendorong perusahaan untuk menyarankan rotasi kredensial segera.
Pelanggaran berasal dari kompromi Context.ai, alat AI pihak ketiga yang digunakan oleh karyawan Vercel, yang memungkinkan penyerang mengambil alih akun Google Workspace karyawan tersebut dan mendapatkan akses ke beberapa lingkungan Vercel dan variabel lingkungan yang tidak sensitif.
Pengungkapan ini menyoroti kekhawatiran yang meningkat tentang risiko keamanan yang ditimbulkan oleh integrasi pihak ketiga dan alat bertenaga AI, karena penyerang semakin mengeksploitasi kerentanan rantai pasokan untuk mendapatkan pijakan di dalam organisasi.
Vercel dan kripto
Natalie Newson, peneliti keamanan blockchain senior CertiK, mengatakan kepada Decrypt acara tersebut telah memicu urgensi di antara pengembang kripto secara khusus. "Karena banyak frontend kripto menggunakan Vercel untuk menghosting UI mereka, pelanggaran dapat memungkinkan penyerang menanamkan wallet drainer. Pengguna yang berinteraksi dengan halaman tepercaya tidak akan mengharapkan sesuatu yang berbahaya terjadi," katanya, menambahkan bahwa, "Eksploitasi di ruang kripto dapat menyebabkan kerugian finansial yang substansial."
Bahkan jika smart contracts tetap aman, kompromi front end masih menimbulkan risiko. "Kompromi front end bisa sangat merusak bagi pengguna akhir," katanya, menunjuk pada insiden CoW Swap pada April di mana satu pengguna melihat $316k dikuras dari dompet mereka.
Dia mengatakan tren AI agentik yang meningkat telah menyebabkan banyak pengguna memposting aplikasi dan ekstensi terbaru untuk meningkatkan produktivitas dan aktor jahat memanfaatkan tren ini. "Perusahaan harus ekstra hati-hati saat menggunakan aplikasi dan ekstensi AI baru sambil meninjau model keamanan internal untuk memastikan bahwa jika pelanggaran terjadi, dampaknya tetap terbatas mungkin," katanya.
Rauch mengatakan serangan berlangsung melalui "serangkaian manuver" dimulai dengan akun karyawan yang dikompromikan dan meningkat menjadi akses yang lebih luas ke lingkungan internal. Sementara Vercel menyimpan variabel lingkungan pelanggan dienkripsi saat diam, perusahaan mengizinkan beberapa variabel ditandai sebagai tidak sensitif, yang dapat diakses oleh penyerang.
Perusahaan percaya jumlah pelanggan yang terkena dampak terbatas dan mengatakan telah menghubungi mereka yang berpotensi terdampak sebagai prioritas. Vercel sejak itu telah menerapkan langkah-langkah pemantauan dan perlindungan tambahan, sambil juga meninjau rantai pasokannya untuk memastikan keamanan proyek seperti Next.js dan Turbopack.
John Woods, CEO Nillion, mengatakan kepada Decrypt bahwa "subset terbatas" biasanya berarti set pelanggan yang terkena dampak yang diamati tampak terbatas sejauh ini, tetapi tidak selalu mengesampingkan pergerakan internal yang lebih luas atau risiko hilir yang lebih luas. "Di platform cloud modern, blast radius bukan hanya tentang berapa banyak pelanggan yang terlihat terdampak pada awalnya, tetapi juga tentang apa yang bisa dijangkau sistem yang dikompromikan di balik layar," kata Woods.
Dia merekomendasikan perusahaan mengikuti berbagai praktik terbaik untuk menghindari situasi semacam ini. "Kunci pemberian OAuth, gunakan hak istimewa paling sedikit, terapkan kontrol ketat di sekitar variabel lingkungan yang sensitif, pisahkan deployment frontend dari otoritas rahasia atau penandatanganan, dan pantau deployment dan log dengan cermat," katanya.
"Bagi siapa pun yang kredensialnya mungkin telah diambil, prioritas segera adalah mencabut akses, merotasi kredensial, dan meninjau setiap sistem yang bisa dijangkau kredensial tersebut," tambahnya, mencatat bahwa, "Pada tingkat yang lebih tinggi, pelajarannya adalah menghindari arsitektur di mana satu kompromi dapat menjangkau terlalu banyak."
Belum jelas siapa di balik serangan tersebut. Tangkapan layar telah muncul dari pengguna dengan nama kelompok peretasan "ShinyHunters" yang mengklaim di forum telah melanggar Vercel dan menjual akses ke data perusahaan, termasuk kode sumber, kunci API dan sistem internal.
Aktor tersebut, yang mungkin juga menyamar sebagai ShinyHunters, juga mengklaim telah membahas tuntutan tebusan $2 juta dengan perusahaan. Vercel tidak segera menanggapi permintaan untuk mengonfirmasi klaim tersebut.
Newsletter Daily Debrief
Mulai setiap hari dengan berita utama sekarang, plus fitur asli, podcast, video dan lainnya.
Sumber: https://decrypt.co/364869/highly-sophisticated-ai-powered-hackers-behind-vercel-breach-ceo
