Vercel, platforma chmurowa znana przede wszystkim jako twórca popularnego frameworka Next.js, poinformowała o poważnym incydencie bezpieczeństwa, w którym nieuprawnione osoby uzyskały dostęp do części jej systemów wewnętrznych. Firma podała, iż bezpośrednio dotknięta została ograniczona liczba klientów, a jej podstawowe usługi hostingowe i wdrożeniowe pozostają nienaruszone.
Jak wynika z komunikatu Vercel, naruszenie bezpieczeństwa nastąpiło po kompromitacji konta Google Workspace jednego z pracowników, które zostało wykorzystane przez atakujących za pośrednictwem zewnętrznej aplikacji AI dostawcy Context.ai. Firma wskazała administratorom Google Workspace oraz właścicielom kont Google na konieczność weryfikacji aplikacji OAuth:
110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com.
W reakcji na incydent Vercel uruchomił pełną procedurę reagowania na zagrożenia, współpracując z zespołami ds. bezpieczeństwa i organami ścigania. Firma zaleca klientom przegląd zmiennych środowiskowych, korzystanie z funkcji wrażliwych zmiennych środowiskowych oraz rotację kluczy i sekretów w razie potrzeby.
Lotem Finkelstein, wiceprezes ds. badań w Check Point Software, podkreśla, iż sytuacja jest poważna nie tylko dla bezpośrednio dotkniętych klientów: – To nie jest teoretyczne ryzyko – incydent dotyczy szeroko stosowanej biblioteki Next.js, która jest podstawą tysięcy projektów na całym świecie. choćby pojedyncze naruszenie może gwałtownie przełożyć się na masową ekspozycję w wielu organizacjach. Dużym wyzwaniem jest brak pełnej widoczności – wiele firm nie wie dokładnie, w jakich projektach i środowiskach zależności te są wykorzystywane, co opóźnia wykrycie ataku i reakcję.
Eksperci podkreślają, iż takie zdarzenia pokazują, jak istotne jest monitorowanie całego ekosystemu zależności, w tym bibliotek open-source i zewnętrznych narzędzi, które mogą stanowić punkt wejścia dla cyberprzestępców. W przypadku Vercel chodzi zarówno o systemy wewnętrzne firmy, jak i o bezpieczeństwo danych klientów korzystających z serwerless functions, edge computing oraz innych usług platformy.
CEO Vercel, Guillermo Rauch, zapewnił, iż firma aktywnie pracuje nad weryfikacją i zabezpieczeniem wszystkich kont i systemów wewnętrznych oraz będzie na bieżąco informować o postępach w śledztwie. Incydent pokazuje także, iż choćby firmy stojące za wiodącymi frameworkami webowymi nie są odporne na zagrożenia wynikające z zależności od zewnętrznych narzędzi i usług
