Vercel thừa nhận bị tấn công, dữ liệu khách hàng bị đánh cắp qua lỗ hổng từ bên thứ ba

Cuối tuần vừa qua, "gã khổng lồ" trong lĩnh vực lưu trữ ứng dụng đám mây Vercel đã tuyên bố rằng các hệ thống nội bộ của họ đã bị xâm phạm và dữ liệu khách hàng đã bị truy cập trái phép. Các hacker tự nhận đã đánh cắp thông tin đăng nhập nhạy cảm từ hệ thống của Vercel và đang rao bán dữ liệu này trên mạng.

Trong một tuyên bố vào Chủ nhật, Vercel cho biết nguồn gốc của vụ vi phạm dữ liệu xuất phát từ một nhà sản xuất phần mềm khác là Context AI. Một nhân viên của Vercel đã tải xuống ứng dụng do Context AI tạo ra và kết nối nó với tài khoản doanh nghiệp được lưu trữ trên Google. Hacker đã sử dụng kết nối này (được gọi là OAuth) để chiếm quyền kiểm soát tài khoản Google của nhân viên Vercel và truy cập vào một số hệ thống nội bộ của công ty, bao gồm cả các thông tin đăng nhập chưa được mã hóa.

Vercel khẳng định các dự án Next.js và Turbopack của họ không bị ảnh hưởng bởi vụ việc này. Cả hai dự án mã nguồn mở này đều được các nhà phát triển web và ứng dụng sử dụng rộng rãi.

Vercel cho biết họ đã liên hệ với những khách hàng có dữ liệu ứng dụng và khóa truy cập bị xâm phạm.

Trong một bài đăng trên nền tảng X, Giám đốc điều hành Vercel, Guillermo Rauch, đã khuyên khách hàng nên thay đổi (rotate) bất kỳ khóa và thông tin đăng nhập nào trong quá trình triển khai ứng dụng được đánh dấu là "không nhạy cảm".

Hiện vẫn chưa rõ ai đứng sau vụ tấn công Vercel hay Context AI, hoặc liệu đó có phải là cùng một hacker hay không. Kẻ đe dọa đang bán dữ liệu này tự nhận là đại diện cho nhóm hacker ShinyHunters trong danh sách đăng trên một diễn án tội phạm mạng. Bài đăng, được TechCrunch nhìn thấy, tuyên bố rằng hacker đang bán quyền truy cập vào các khóa API khách hàng, mã nguồn và dữ liệu cơ sở dữ liệu bị đánh cắp từ Vercel.

Nhóm hacker ShinyHunters, nổi tiếng với việc tấn công các công ty dựa trên đám mây và cơ sở dữ liệu, đã nói với trang tin an ninh mạng Bleeping Computer rằng họ không liên quan đến sự cố này.

Nguy cơ từ tấn công chuỗi cung ứng

Trong khi chi tiết của vụ hack vẫn đang được làm rõ, vụ vi phạm bảo mật này là mới nhất trong chuỗi các cuộc tấn công "chuỗi cung ứng" (supply chain) trong những tháng gần đây nhắm vào các nhà phát triển phần mềm có mã nguồn được sử dụng rộng rãi trên web. Bằng cách xâm phạm phần mềm được các công ty sử dụng rộng rãi và hỗ trợ cơ sở hạ tầng web, hacker có thể đánh cắp thông tin đăng nhập từ nhiều mục tiêu cùng một lúc và tiếp cận thêm lượng lớn dữ liệu được lưu trữ bởi các gã khổng lồ đám mây khác.

Vercel không nói thêm nhiều về cuộc tấn công, ngoại trừ việc họ đang điều tra sự cố và đã yêu cầu giải thích từ Context AI. Vercel cho biết vụ hack có thể ảnh hưởng đến "hàng trăm người dùng trên nhiều tổ chức", không chỉ hệ thống của riêng họ, đồng thời cảnh báo về các vụ vi phạm hạ lưu tiềm ẩn lan rộng khắp ngành công nghệ.

Context AI xác nhận bị lộ token OAuth

Context AI, công ty chuyên xây dựng các công cụ đánh giá và phân tích cho các mô hình AI, đã xác nhận trên trang web của mình rằng họ đã bị vi phạm dữ liệu vào tháng 3 liên quan đến ứng dụng người dùng Context AI Office Suite. Ứng dụng này cho phép người dùng tự động hóa các hành động và quy trình làm việc trên nhiều ứng dụng bên thứ ba thông qua một dịch vụ bên thứ ba không tên.

Context AI cho biết họ đã thông báo cho một khách hàng về vụ vi phạm, nhưng dựa trên sự cố của Vercel, công ty hiện tin rằng sự cố này có thể rộng lớn hơn suy nghĩ ban đầu. Context AI cho biết các hacker "có khả năng đã xâm phạm mã thông báo OAuth (OAuth tokens) của một số người dùng tiêu dùng của chúng tôi".

Context AI đã không phản hồi yêu cầu bình luận hoặc các câu hỏi về vụ vi phạm. Hiện chưa rõ tại sao Context AI không công bố vụ vi phạm vào thời điểm đó, hoặc liệu công ty có nhận được bất kỳ yêu cầu nào từ hacker, chẳng hạn như tiền chuộc hay không.

Vercel cũng không phản hồi các câu hỏi về sự cố, chẳng hạn như bao nhiêu khách hàng của họ có thể bị ảnh hưởng.