Cybred
@cybred
Cybred
Фото:
Vercel сообщили, что их взломали
We’ve identified a security incident that involved unauthorized access to certain internal Vercel systems. At this time, we have identified a limited subset of customers that were impacted and are engaging with them directly.
Параллельно с этим админ BreachForums под ником ShinyHunters предложил приобрести у него API-ключи, исходный код и базу данных хостинга.
Но доверять ему не стоит. Утекло ли что-то на самом деле — покажет время. Настоящая группа ShinyHunters покинула очередную итерацию BreachForums после предыдущего ареста форума, а нынешний админ нового «реборна» лишь выдает себя за участников этой группы, то же самое можно сказать и о его дампе, — ведь он не показал даже сэмпл.
В любом случае, советую ротировать все свои креды и секреты.
Attack chain:
1. Взломали context.ai, которым пользовался один из сотрудников Vercel
2. Нашли его OAuth-токен с доступом к Google Workspace (само приложение сейчас уже удалено)
3. Использовали его, чтобы окончательно попасть в инфру
После первоначального доступа могли собрать
Sensitive environment variables — это те переменные окружения, которые ты должен отметить сам, после чего они шифруются. Но многие этого не делают, поэтому данные лежат открыто.
Что нужно сделать:
— проверить логи активности через Dashboard или CLI
— ротировать переменные окружения и отметить необходимые как "sensitive"
— поискать подозрительные деплойменты
Сейчас компания продолжает расследовать инцидент вместе с Mandiant. Отдельно отмечают, что хакер(ы) хорошо ориентировались и быстро продвигались.
1. Взломали context.ai, которым пользовался один из сотрудников Vercel
2. Нашли его OAuth-токен с доступом к Google Workspace (само приложение сейчас уже удалено)
3. Использовали его, чтобы окончательно попасть в инфру
После первоначального доступа могли собрать
some Vercel environments and environment variables that were not marked as "sensitive" и ... пока на этом все.At this time, we do not have reason to believe that credentials or personal data have been compromised.
Sensitive environment variables — это те переменные окружения, которые ты должен отметить сам, после чего они шифруются. Но многие этого не делают, поэтому данные лежат открыто.
Что нужно сделать:
— проверить логи активности через Dashboard или CLI
— ротировать переменные окружения и отметить необходимые как "sensitive"
— поискать подозрительные деплойменты
Сейчас компания продолжает расследовать инцидент вместе с Mandiant. Отдельно отмечают, что хакер(ы) хорошо ориентировались и быстро продвигались.
44 5.1K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram