अधिक उपयोगकर्ता Vercel exploit के प्रभाव दायरे में आए
अप्रैल 2026 की Vercel सुरक्षा घटना शुरुआती दावों से आगे बढ़ती जा रही है। यह घटना, जिसे Vercel ने "सीमित ग्राहकों के एक उपसमूह" से जुड़ी बताया था, अब बहुत व्यापक डेवलपर समुदाय तक फैल गई है, खासकर उन लोगों तक जो AI एजेंट वर्कफ़्लो बना रहे हैं।
अपने हालिया 19 अप्रैल के सुरक्षा बुलेटिन में, जिसे चल रही जांच के साथ-साथ समय-समय पर अपडेट किया गया है, Vercel का दावा है कि जो डेवलपर थर्ड-पार्टी API कीज़ के पैक, LLM प्रोवाइडर क्रेडेंशियल्स और टूल कॉल्स पर निर्भर हैं, वे ऐसे हमलों के प्रति अधिक संवेदनशील हैं।
यह उल्लंघन कैसे हुआ?
उपयोगकर्ताओं की अटकलों के विपरीत, Vercel प्रवेश का प्रारंभिक बिंदु नहीं था; इसे तब हैक किया गया जब संवेदनशील एक्सेस विशेषाधिकारों वाले एक Context.ai कर्मचारी को Lumma Stealer मैलवेयर संक्रमण के ज़रिए हैक किया गया।
यह उल्लंघन तब हुआ जब कर्मचारी ने एक Roblox Auto-farm स्क्रिप्ट और गेम एक्सप्लॉइट टूल डाउनलोड किए, जो मैलवेयर फैलाने के प्रमुख तरीके हैं। इस उल्लंघन से उपयोगकर्ता डेटा चोरी हुआ, जिसमें Google Workspace लॉगिन विवरण और Supabase, Datadog और Authkit जैसे प्लेटफ़ॉर्म की एक्सेस कीज़ शामिल हैं।
हमलावर ने फिर Vercel के Google Workspace अकाउंट तक पहुंच हासिल करने के लिए एक चोरी किए गए OAuth टोकन का उपयोग किया। हालांकि Vercel, Context.ai का उपयोगकर्ता नहीं है, लेकिन उनके एक कर्मचारी का उस प्लेटफ़ॉर्म पर एक अकाउंट था, जिसे Vercel एंटरप्राइज़ अकाउंट से बनाया गया था, और सबसे बुरी बात यह थी कि उसने "allow all" अनुमतियां स्वीकृत की थीं।
स्थिति को और खराब करते हुए, Vercel ने अपने Google Workspace वातावरण में इन व्यापक अनुमतियों को सक्षम किया था, जिससे आसान पहुंच मिली।
अंदर आने के बाद, हमलावर ने सिस्टम में संग्रहीत गैर-संवेदनशील एनवायरनमेंट वेरिएबल्स को डिक्रिप्ट किया। हालांकि, वे संवेदनशील डेटा तक पहुंच नहीं पा सके, क्योंकि Vercel उन एनवायरनमेंट वेरिएबल्स को इस तरह से संग्रहीत करता है जो उन्हें एक्सेस होने से रोकता है।
AI एजेंट डेवलपर्स के लिए इसका क्या अर्थ है?
डेवलपर्स के लिए, चिंता इस बात से अधिक है कि प्रभाव की सीमा कितनी बड़ी है, बजाय इसके कि क्या चोरी हुआ। अधिकांश डेवलपर्स चिंतित हैं कि उनके वर्कफ़्लो, जो सादे एनवायरनमेंट वेरिएबल्स में क्रेडेंशियल्स के साथ जुड़े हुए हैं, इस उल्लंघन के संपर्क में आ सकते हैं। ऐसा इसलिए है क्योंकि Vercel पर अधिकांश डेवलपर आमतौर पर अपने डिप्लॉयमेंट एनवायरनमेंट में महत्वपूर्ण एक्सेस कीज़ स्टोर करते हैं।
इसके अलावा, AI-संचालित प्रोजेक्ट एक साथ एक OpenAI या Anthropic API key, एक वेक्टर डेटाबेस कनेक्शन स्ट्रिंग, एक webhook सीक्रेट और एक थर्ड-पार्टी टूल टोकन रख सकते हैं, जिन्हें सिस्टम द्वारा संवेदनशील के रूप में चिह्नित नहीं किया जाता क्योंकि इसके लिए डेवलपर को मैन्युअल रूप से ऐसा करना होता है।
इस घटना से निपटने के लिए, Vercel ने अपने उत्पाद को अपडेट किया है ताकि सभी नए बनाए गए एनवायरनमेंट वेरिएबल्स डिफ़ॉल्ट रूप से संवेदनशील के रूप में चिह्नित हों और केवल डेवलपर ही उन्हें गैर-संवेदनशील बना सकें। हालांकि यह विकास एक सही कदम है, लेकिन यह उन वेरिएबल्स की भरपाई नहीं करता जो चोरी हो गए थे, इस बदलाव से पहले।
हमला कितनी दूर तक पहुंचा?
Vercel के अनुसार, यह हमला कई संगठनों में सैकड़ों उपयोगकर्ताओं को प्रभावित कर सकता है, न केवल अपने स्वयं के सिस्टम को, बल्कि पूरे टेक उद्योग को। ऐसा इसलिए है क्योंकि हमले में उपयोग किया गया OAuth ऐप केवल Vercel तक सीमित नहीं था।
हमले के प्रभावों को कम करने के लिए, Vercel की सुरक्षा टीम ने समझौता किए गए OAuth ऐप का अद्वितीय पहचानकर्ता साझा किया है, Google Workspace प्रशासकों और Google अकाउंट धारकों से आग्रह किया है कि वे जांचें कि क्या उसके पास उनके सिस्टम तक पहुंच थी।
इसके अतिरिक्त, Context.ai ने Nudge Security के CTO Jaime Blasco की मदद से एक और OAuth अनुमति अनुदान का पता लगाया, जिसमें Google Drive एक्सेस शामिल थी। आगे के प्रभाव को रोकने के लिए, Context.ai ने तुरंत सभी प्रभावित ग्राहकों को सचेत किया और आगे के उल्लंघनों को रोकने के लिए आवश्यक कदम प्रदान किए।
सबसे चतुर क्रिप्टो दिमाग पहले से ही हमारा न्यूज़लेटर पढ़ते हैं। क्या आप शामिल होना चाहते हैं? उनसे जुड़ें।
आपको यह भी पसंद आ सकता है
Solana $88 के प्रतिरोध के साथ $80 की गिरावट के जोखिम में
डाउ जोन्स फ्यूचर्स में तेज गिरावट, अमेरिका-ईरान शांति प्रयास बढ़ते तनाव के बीच रुके
