สรุปสั้นๆ
- แพลตฟอร์มคลาวด์ Vercel ได้เปิดเผยรายละเอียดของเหตุการณ์ด้านความปลอดภัยที่ทำให้ข้อมูลรับรองของลูกค้าบางรายถูกบุกรุก
- CEO ของบริษัท Guillermo Raugh เปิดเผยว่ากลุ่มผู้โจมตี "มีความซับซ้อนสูง" และน่าจะใช้เครื่องมือ AI
- ส่วนหน้าของคริปโตจำนวนมากใช้ Vercel เพื่อโฮสต์ UI โดยบริษัทแนะนำให้หมุนเวียนข้อมูลรับรองทันที
CEO ของ Vercel กล่าวว่ากลุ่มแฮ็กเกอร์ "ที่มีความซับซ้อนสูง" ซึ่งอาจได้รับความช่วยเหลือจาก AI อยู่เบื้องหลังเหตุการณ์ด้านความปลอดภัยเมื่อเร็วๆ นี้ ที่ทำให้ข้อมูลรับรองของลูกค้าบางรายถูกเปิดเผยหลังจากการบุกรุกระบบภายใน
"เราเชื่อว่ากลุ่มผู้โจมตีมีความซับซ้อนสูง และฉันสงสัยอย่างยิ่งว่าได้รับการเร่งความเร็วอย่างมากจาก AI" CEO Guillermo Rauch ทวีตโดยเสริมว่าผู้โจมตี "เคลื่อนไหวด้วยความเร็วที่น่าประหลาดใจและมีความเข้าใจอย่างลึกซึ้งเกี่ยวกับ Vercel"
บริษัทซึ่งเป็นแพลตฟอร์มคลาวด์สำหรับนักพัฒนากล่าวเมื่อวันอาทิตย์ว่าได้ระบุการเข้าถึงระบบภายในบางส่วนโดยไม่ได้รับอนุญาตและกำลังสอบสวนอย่างจริงจัง เหตุการณ์ดังกล่าวส่งผลกระทบต่อลูกค้ากลุ่มย่อยจำกัดที่มีข้อมูลรับรองถูกบุกรุก ทำให้บริษัทแนะนำให้หมุนเวียนข้อมูลรับรองทันที
การบุกรุกเกิดจากการบุกรุก Context.ai ซึ่งเป็นเครื่องมือ AI ของบุคคลที่สามที่พนักงานของ Vercel ใช้ ซึ่งทำให้ผู้โจมตีสามารถเข้าควบคุมบัญชี Google Workspace ของพนักงานและเข้าถึงสภาพแวดล้อม Vercel บางส่วนและตัวแปรสภาพแวดล้อมที่ไม่ละเอียดอ่อน
การเปิดเผยนี้เน้นความกังวลที่เพิ่มขึ้นเกี่ยวกับความเสี่ยงด้านความปลอดภัยที่เกิดจากการผสานรวมของบุคคลที่สามและเครื่องมือที่ขับเคลื่อนด้วย AI เนื่องจากผู้โจมตีใช้ประโยชน์จากช่องโหว่ของห่วงโซ่อุปทานมากขึ้นเพื่อเข้าสู่องค์กร
Vercel และคริปโต
Natalie Newson นักวิจัยด้านความปลอดภัยบล็อกเชนอาวุโสของ CertiK บอกกับ Decrypt ว่าเหตุการณ์นี้ได้กระตุ้นความเร่งด่วนในหมู่นักพัฒนาคริปโตโดยเฉพาะ "เนื่องจากส่วนหน้าของคริปโตจำนวนมากใช้ Vercel เพื่อโฮสต์ UI การบุกรุกสามารถทำให้ผู้โจมตีฝังตัวดูดกระเป๋าเงิน ผู้ใช้ที่โต้ตอบกับหน้าที่เชื่อถือได้จะไม่คาดหวังว่าจะมีสิ่งที่เป็นอันตรายเกิดขึ้น" เธอกล่าวโดยเสริมว่า "การใช้ประโยชน์ในพื้นที่คริปโตสามารถนำไปสู่การสูญเสียทางการเงินอย่างมาก"
แม้ว่า สมาร์ทคอนแทรกต์ จะยังคงปลอดภัย การบุกรุกส่วนหน้ายังคงก่อให้เกิดความเสี่ยง "การบุกรุกส่วนหน้าอาจสร้างความเสียหายอย่างมากต่อผู้ใช้ปลายทาง" เธอกล่าวโดยชี้ไปที่เหตุการณ์ CoW Swap ในเดือนเมษายนที่ผู้ใช้รายหนึ่งถูกดูดเงินจากกระเป๋าเงิน $316,000
เธอกล่าวว่าแนวโน้มที่เพิ่มขึ้นของ agentic AI ได้นำไปสู่การที่ผู้ใช้จำนวนมากโพสต์แอปและส่วนขยายล่าสุดเพื่อปรับปรุงประสิทธิภาพการทำงาน และผู้มีเจตนาร้ายกำลังใช้ประโยชน์จากแนวโน้มนี้ "บริษัทควรระมัดระวังเป็นพิเศษเมื่อใช้แอปและส่วนขยาย AI ใหม่ๆ ในขณะที่ทบทวนโมเดลความปลอดภัยภายในเพื่อให้แน่ใจว่าหากการบุกรุกเกิดขึ้น ผลกระทบจะยังคงจำกัดให้มากที่สุด" เธอกล่าว
Rauch กล่าวว่าการโจมตีเกิดขึ้นผ่าน "ชุดการซ้อมรบ" โดยเริ่มจากบัญชีพนักงานที่ถูกบุกรุกและขยายไปสู่การเข้าถึงสภาพแวดล้อมภายในที่กว้างขึ้น แม้ว่า Vercel จะเก็บตัวแปรสภาพแวดล้อมของลูกค้าแบบเข้ารหัสขณะพัก บริษัทอนุญาตให้ตัวแปรบางตัวถูกทำเครื่องหมายว่าไม่ละเอียดอ่อน ซึ่งผู้โจมตีสามารถเข้าถึงได้
บริษัทเชื่อว่าจำนวนลูกค้าที่ได้รับผลกระทบมีจำกัดและกล่าวว่าได้ติดต่อผู้ที่อาจได้รับผลกระทบเป็นลำดับความสำคัญ Vercel ได้ปรับใช้มาตรการตรวจสอบและป้องกันเพิ่มเติมตั้งแต่นั้นมา ในขณะที่ยังทบทวนห่วงโซ่อุปทานเพื่อให้แน่ใจว่าความปลอดภัยของโปรเจ็กต์เช่น Next.js และ Turbopack
John Woods CEO ของ Nillion บอกกับ Decrypt ว่า "กลุ่มย่อยจำกัด" มักจะหมายความว่าชุดลูกค้าที่ได้รับผลกระทบที่สังเกตได้ดูเหมือนจะมีจำกัดจนถึงตอนนี้ แต่ไม่จำเป็นต้องตัดความเป็นไปได้ของการเคลื่อนไหวภายในที่กว้างขึ้นหรือความเสี่ยงปลายน้ำที่กว้างขึ้น "ในแพลตฟอร์มคลาวด์สมัยใหม่ รัศมีการระเบิดไม่ได้เกี่ยวกับจำนวนลูกค้าที่ได้รับผลกระทบอย่างชัดเจนในตอนแรกเท่านั้น แต่ยังเกี่ยวกับสิ่งที่ระบบที่ถูกบุกรุกสามารถเข้าถึงได้เบื้องหลัง" Woods กล่าว
เขาแนะนำให้บริษัทปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดหลากหลายเพื่อหนีสถานการณ์ประเภทนี้ "ล็อคการอนุญาต OAuth ใช้สิทธิ์น้อยที่สุด บังคับใช้การควบคุมที่เข้มงวดเกี่ยวกับตัวแปรสภาพแวดล้อมที่ละเอียดอ่อน แยกการปรับใช้ส่วนหน้าออกจากความลับหรืออำนาจการลงนาม และตรวจสอบการปรับใช้และบันทึกอย่างใกล้ชิด" เขากล่าว
"สำหรับใครก็ตามที่อาจมีข้อมูลรับรองถูกนำไป ลำดับความสำคัญโดยทันทีคือการเพิกถอนการเข้าถึง หมุนเวียนข้อมูลรับรอง และทบทวนทุกระบบที่ข้อมูลรับรองเหล่านั้นสามารถเข้าถึงได้" เขาเสริมโดยสังเกตว่า "ในระดับที่สูงขึ้น บทเรียนคือการหลีกเลี่ยงสถาปัตยกรรมที่การบุกรุกครั้งเดียวสามารถเข้าถึงได้มากเกินไป"
ยังไม่ชัดเจนว่าใครอยู่เบื้องหลังการโจมตี ภาพหน้าจอได้ปรากฏขึ้นของผู้ใช้ที่มีชื่อของกลุ่มแฮ็กเกอร์ "ShinyHunters" อ้างในฟอรัมว่าได้บุกรุก Vercel และกำลังขายการเข้าถึงข้อมูลของบริษัท รวมถึงซอร์สโค้ด คีย์ API และระบบภายใน
ผู้กระทำการซึ่งอาจกำลังปลอมตัวเป็น ShinyHunters ด้วยยังอ้างว่าได้หารือเกี่ยวกับความต้องการค่าไถ่ $2 ล้านกับบริษัท Vercel ไม่ได้ตอบสนองทันทีต่อคำขอให้ยืนยันการอ้างเหล่านั้น
จดหมายข่าวสรุปประจำวัน
เริ่มต้นทุกวันด้วยข่าวสารสำคัญในขณะนี้ พร้อมคุณสมบัติต้นฉบับ พอดแคสต์ วิดีโอ และอื่นๆ
แหล่งที่มา: https://decrypt.co/364869/highly-sophisticated-ai-powered-hackers-behind-vercel-breach-ceo
