Облачная платформа Vercel подтвердила утечку данных клиентов после OAuth-атаки
Облачная платформа Vercel подтвердила взлом внутренних систем из-за OAuth-токена сотрудника, который выдал стороннему сервису Context.ai полный доступ в Google Workspace. Злоумышленник получил доступ к незащищённым служебным данным, а также заявил о наличии NPM- и GitHub-токенов, выставив данные на продажу за 2 млн долларов. В Vercel заверили, что защищённые данные и проекты Next.js не пострадали.
Облачная платформа Vercel, разработчик фреймворка Next.js, подтвердила факт несанкционированного доступа к своим внутренним системам, пишет издание Cybernews со ссылкой на сообщение компании. Злоумышленник скомпрометировал учётные данные «ограниченного числа клиентов».
Взлом стал возможен после компрометации Google Workspace-аккаунта одного из сотрудников. По данным Vercel, сотрудник использовал корпоративную учётную запись для регистрации в сторонней AI-платформе Context.ai и предоставил OAuth-приложению полный доступ. Как пояснили в Context.ai, внутренние настройки OAuth в Vercel допустили выдачу таких широких прав.
Context.ai сообщила, что месяц назад обнаружила несанкционированный доступ к своей среде AWS. Злоумышленник, предположительно, скомпрометировал OAuth-токены для части пользователей потребительского продукта. Компания закрыла этот продукт и связанные с ним ресурсы. При этом корпоративные клиенты Context.ai, по заявлению компании, не пострадали, так как обслуживаются через отдельную платформу в собственных средах заказчиков.
В Vercel уточнили, что переменные окружения клиентов хранятся в зашифрованном виде, а данные, помеченные как «чувствительные», недоступны для чтения. На момент анализа в компании не нашли доказательств их компрометации. Однако злоумышленник смог перечислить «нечувствительные» переменные окружения, чего оказалось достаточно для получения дальнейшего доступа.
Как сообщили исследователи Cybernews, злоумышленник утверждает, что имеет доступ к GitHub- и NPM-токенам. Отмечается, что NPM-токены используются для аутентификации в реестре npm, что позволяет публиковать пакеты. Учитывая, что Vercel владеет Next.js, при несвоевременной замене таких секретов их можно было бы использовать для публикации вредоносного обновления фреймворка.
В Vercel, в свою очередь, заявили, что проанализировали цепочку поставок и не нашли свидетельств компрометации Next.js, Turbopack и других проектов с открытым исходным кодом.
Первое сообщение о взломе появилось от самого злоумышленника, который выставил данные на продажу на теневой площадке и в Telegram за 2 млн долларов. В качестве доказательства был опубликован скриншот из инструмента управления проектами Linear. Злоумышленник, выступавший под псевдонимом ShinyHunters, заявил о наличии «нескольких учётных записей сотрудников» с доступом к внутренним развёртываниям и API-ключам, включая часть NPM- и GitHub-токенов. Группировка ShinyHunters впоследствии отрицала свою причастность, назвав продавца самозванцем.
Ранее SecPost писал о киберпреступной группировке ShinyHunters, которая угрожала опубликовать более 3 миллионов записей данных Cisco, включая персональную информацию и данные из Salesforce, AWS и GitHub.
Читайте также
