Des données de Vercel compromises par une application IA tierce

La plateforme cloud de développement front-end a été piratée via une application IA utilisée en interne. Les cybercriminels ont eu accès à certaines données comme des identifiants clients.

L’utilisation par un employé de Vercel de l’application IA, identifiée comme Context.ai, a permis à des attaquants de prendre le contrôle de son compte Google Workspace et d’accéder à certaines données « non sensibles ». La plateforme de développement front-end à l’origine de Next.js et Turbo.js indique dans un message que les donnée sensibles « sont stockées de manière à empêcher leur lecture », tout en ajoutant « nous n'avons actuellement aucune preuve que ces valeurs aient été consultées »

Selon la société, l'incident a compromis un « nombre limité » de clients dont les identifiants Vercel ont été exposés. « Depuis, ils ont été contactés et invités à changer leurs identifiants », a indiqué le fournisseur. Néanmoins sur le dark web, un acteur malveillant se faisant passer pour les « ShinyHunters » a tenté de vendre les données volées lesquelles comprendraient notamment des clés d’accès, du code source et une base de données.

Piratage via une application IA tierce

Vercel a confirmé que le vecteur d'accès initial était l'OAuth de Google Workspace associé à Context.ai. Une fois l'application compromise, les attaquants ont hérité des autorisations qui lui avaient été accordées, y compris l'accès au compte de l'employé de Vercel. On ignore encore si l'infrastructure de Context.ai a été compromise, si des jetons OAuth ont été volés, ou si les attaquants ont pu abuser de l'accès authentifié aux environnements de Vercel après une fuite de session/jeton au sein de l'espace de travail IA. Context.ai n'a pas immédiatement répondu à notre demande de commentaires. « Nous avons contacté Context.ai directement afin de comprendre toute l'étendue de la compromission sous-jacente », a fait savoir Vercel dans son message. « Compte tenu de la rapidité de ses opérations et de sa connaissance approfondie des systèmes de Vercel, nous pensons que l'attaquant est très sophistiqué. Nous travaillons avec Mandiant, d'autres entreprises de cybersécurité, des pairs du secteur et les autorités judiciaires. »

Vercel invite vivement ses clients à examiner les journaux d'activité pour y rechercher des comportements suspects et à renouveler les variables d'environnement, en particulier les secrets non protégés qui auraient pu être exposés. L’entreprise a également recommandé d’activer les protections des composants sensibles, de vérifier les déploiements récents à la recherche d’anomalies et de renforcer les mesures de sécurité en mettant à jour les paramètres de protection des déploiements et en renouvelant les tokens associés si nécessaire. « Les informations sensibles, notamment les clés API, les tokens, les identifiants de base de données et les clés de signature qui n’étaient pas signalées comme « sensibles », doivent être considérées comme potentiellement compromises et remplacées en priorité », a ajouté la société. Elle a aussi proposé une solution rapide pour les utilisateurs les plus inquiets. « Si vous n’avez pas été contacté, nous n’avons aucune raison de penser que vos identifiants Vercel ou vos données personnelles aient été compromis à ce stade », note-t-il dans son message.

Une violation attribuée à ShinyHunters

D'après des captures d'écran circulant sur des forums, un cybercriminel a déjà revendiqué cette violation sur le dark web et tente de vendre son butin. « Bonjour à tous, je vends aujourd'hui des clés d'accès, du code source et la base de données de l’entreprise Vercel », a annoncé l'acteur dans l'un de ces messages. « Faites-moi une offre si vous êtes intéressés. Cela pourrait être la plus grande attaque de chaîne d'approvisionnement jamais vue si elle est menée à bien. » Les données ont été mises en vente pour 2 millions de dollars le 19 avril.

On peut voir sur la capture d'écran qu’il utilise un domaine « BreachForums », affirmant (sans le dire explicitement) être Shinyhunters lui-même, l'un des opérateurs du célèbre site de piratage. D'autres indices incluent une chaîne Telegram « @Shinyc0rpsss » et une adresse de courriel « shinysevy@tutamail.com » mentionnée dans le message. Alors que des incidents récents ont laissé entendre que ShinyHunters refaisait surface après des démantèlements et des arrestations présumées, il est probable qu'il s'agisse d'un imposteur utilisant ce nom pour se donner de la crédibilité, ce qui n'est pas sans précédent.