Vercel ยืนยันถูกแฮก หลังพบข้อมูลภายในถูกนำไปขายบนเว็บใต้ดิน

Vercel แพลตฟอร์ม Cloud สำหรับนักพัฒนาชื่อดัง ยืนยันเหตุการณ์ด้านความปลอดภัยหลังพบว่ามีผู้ไม่หวังดีเข้าถึงระบบภายในโดยไม่ได้รับอนุญาต และนำข้อมูลไปประกาศขายบนฟอรัมแฮกเกอร์

Vercel เป็นแพลตฟอร์ม Cloud ที่ให้บริการ Hosting และ Deployment สำหรับนักพัฒนา โดยเฉพาะ JavaScript framework รวมถึงเป็นผู้พัฒนา Next.js framework ยอดนิยม โดยบริษัทได้ออกประกาศแจ้งเตือนด้านความปลอดภัยระบุว่าพบการเข้าถึงระบบภายในโดยไม่ได้รับอนุญาต ซึ่งส่งผลกระทบต่อลูกค้าบางส่วน บริษัทได้ประสานงานกับผู้เชี่ยวชาญด้าน Incident Response และแจ้งหน่วยงานบังคับใช้กฎหมายแล้ว โดยยืนยันว่าบริการต่าง ๆ ของ Vercel ยังคงทำงานได้ตามปกติ

จากการสืบสวนพบว่าต้นเหตุของการโจมตีมาจากการที่บัญชี Google Workspace ของพนักงาน Vercel ถูก Compromise ผ่านช่องโหว่ใน 3rd-party AI tool ชื่อ Context.ai ที่มีการเชื่อมต่อผ่าน OAuth application ผู้โจมตีใช้สิทธิ์ที่ได้จากบัญชีดังกล่าวเพื่อขยายการเข้าถึงเข้าสู่ระบบภายในของ Vercel และเข้าถึง Environment Variables ที่ไม่ได้ถูกตั้งค่าเป็น Sensitive ซึ่งไม่ได้ถูกเข้ารหัสแบบ Encrypted at Rest ส่งผลให้ผู้โจมตีสามารถเข้าถึงข้อมูลเพิ่มเติมได้ ทั้งนี้ Vercel แนะนำให้ผู้ดูแลระบบ Google Workspace ตรวจสอบ OAuth App ID 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com ว่ามีการเชื่อมต่ออยู่ในระบบหรือไม่

ในฝั่งของผู้โจมตี มีผู้อ้างตัวเป็นกลุ่ม ShinyHunters ประกาศขายข้อมูลที่อ้างว่าได้จากการเจาะระบบ Vercel บนฟอรัมแฮกเกอร์ โดยระบุว่ามี Access Key, Source Code, ข้อมูลจาก Database รวมถึง API Key และ Token ต่าง ๆ พร้อมเผยแพร่ข้อมูลพนักงานจำนวน 580 รายการที่ประกอบด้วยชื่อ อีเมล สถานะบัญชี และ Timestamp นอกจากนี้ยังอ้างว่าได้เรียกค่าไถ่ 2 ล้านดอลลาร์จาก Vercel อย่างไรก็ตาม กลุ่ม ShinyHunters ตัวจริงได้ปฏิเสธว่าไม่มีส่วนเกี่ยวข้องกับเหตุการณ์นี้ และยังไม่มีการยืนยันความถูกต้องของข้อมูลที่ถูกเผยแพร่

Vercel ยืนยันว่า Next.js, Turbopack และโปรเจกต์ Open Source อื่น ๆ ยังคงปลอดภัย บริษัทแนะนำให้ลูกค้าตรวจสอบ Environment Variables ทั้งหมด เปิดใช้งานฟีเจอร์ Sensitive Environment Variables เพื่อให้มั่นใจว่าข้อมูลถูกเข้ารหัสแบบ Encrypted at Rest และ Rotate Secret ต่าง ๆ ที่อาจได้รับผลกระทบโดยเร็ว

ที่มา: https://www.bleepingcomputer.com/news/security/vercel-confirms-breach-as-hackers-claim-to-be-selling-stolen-data/