ShinyHunter, un equipo de hackers cuyo negocio principal es robar información y lanzar extorsiones, recientemente derribó la conocida plataforma de desarrollo en la nube Vercel. Después del ataque a la plataforma, se filtró información confidencial interna e información de los clientes. Actualmente, la plataforma está notificando a los clientes afectados que roten inmediatamente varias credenciales y verifiquen los registros de actividad.
Inicialmente, Vercel no anunció la causa del ataque. En ese momento, hubo rumores de que la fuente provenía de la herramienta de inteligencia artificial Context.ai. Posteriormente, Vercel actualizó la página del incidente de seguridad para confirmar esta afirmación. Sus empleados se vieron comprometidos utilizando Context.AI. El pirata informático utilizó los derechos de acceso de la herramienta para controlar la cuenta de Vercel Google Workspace y luego utilizó esta cuenta para ingresar al entorno interno.
La captura de pantalla muestra que Vercel se puso en contacto con el hacker a través de Telegram y le pidió que no publicara ningún dato. Sin embargo, la extorsión del hacker es principalmente por dinero. El hacker quiere 2 millones de dólares a cambio de la confidencialidad de los datos. No está claro si Vercel ofrecerá un rescate a cambio de la confidencialidad de los datos.
Vercel dijo que sólo un pequeño número de clientes se vieron afectados:
En su actualización de incidentes de seguridad, Vercel enfatizó que este incidente de seguridad solo resultó en el robo de una pequeña cantidad de datos de los clientes. Ahora se ha puesto en contacto con estos clientes de forma privada para reforzar las medidas de seguridad y rotar varios tipos de credenciales. Vercel también enfatizó que la información interna robada por los piratas informáticos no era confidencial porque no se permitía leer la información marcada como confidencial dentro de Vercel, por lo que los piratas informáticos no obtuvieron la información confidencial de Vercel.
Cómo juzgar si has sido atacado también es muy sencillo. Inicie sesión en la consola de Google o Google Workspace y verifique si la aplicación OAuth contiene: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com (parece que los funcionarios de Google han eliminado la aplicación. No sé si puedo ver el historial de autorizaciones).
Si existe esta aplicación de autorización OAuth, significa que el usuario ha sido pirateado. En este momento, el usuario debe rotar inmediatamente todas las credenciales y verificar varios servicios para detectar un comportamiento de inicio de sesión anormal, porque es posible que los piratas informáticos también hayan instalado otras puertas traseras de persistencia al iniciar sesión en el servidor a través de credenciales.
Context.AI aún no ha publicado una respuesta:
Vercel ha notificado a Context.AI de este incidente de seguridad, pero este último aún no ha emitido ninguna respuesta. Bluedot revisó su blog y descubrió que Context.AI publicó tres blogs anoche para presentar otro contenido, pero no mencionó ningún contenido relacionado con la seguridad, por lo que no está del todo claro cómo el hacker invadió Context.AI.
Por lo tanto, se recomienda que los usuarios que usan Context.AI también verifiquen y roten inmediatamente varias credenciales y verifiquen si hay algún comportamiento de inicio de sesión anormal. Por supuesto, si busca una mayor seguridad, debe rotar directamente todas las credenciales incluso si no se encuentra ningún comportamiento anormal.
vía Vercel