Zpět na domů

Únik v Vercel: jak OAuth-hack kompromitoval proměnné prostředí

Analýza bezpečnostního incidentu v Vercel způsobeného kompromitací účtu přes externí AI platformu. Zahrnuty technické detaily útoku, důsledky a doporučení pro vývojáře k ochraně proměnných prostředí a OAuth integrací.

Vercel hacknul: lekce bezpečnosti pro vývojáře
Advertisement 728x90

# Bezpečnostní incident ve Vercel: jak únik přes OAuth vedl ke kompromitaci proměnných prostředí

Platforma cloudového vývoje Vercel potvrdila neoprávněný přístup k interním systémům po prolomení účtu zaměstnance prostřednictvím kompromitované OAuth aplikace v Google Workspace. Incident byl možný díky úniku dat na platformě umělé inteligence Context.ai, což umožnilo útočníkovi získat přístup k proměnným prostředí, které nebyly označeny jako důvěrné.

Ačkoli hlavní služby Vercel fungovaly bez přerušení a data zákazníků v zašifrované podobě zůstala nedotčena, incident odhalil kritickou zranitelnost v řízení tajemství a důvěře v externí integrace. Společnost okamžitě informovala bezpečnostní složky, zapojila externí experty na reakci na incidenty a vydala aktualizace rozhraní pro posílení kontroly nad důvěrnými proměnnými.

Jak došlo k prolomení

Počáteční bod útoku byl účet zaměstnance Vercel v Google Workspace. Útočník k němu získal přístup poté, co byla data tohoto účtu kompromitována na platformě Context.ai, která využívá AI k automatizaci pracovních procesů. Prostřednictvím tohoto účtu byl autorizován OAuth token jménem aplikace s identifikátorem 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com.

Google AdInline article slot

Tato aplikace, vyvinutá externím nástrojem, získala nadměrná oprávnění včetně přístupu k interním zdrojům Google Workspace. Po získání tokenu se útočník mohl přesunout do infrastruktury Vercel a získat přístup k proměnným prostředí, které nebyly explicitně označeny jako důvěrné. V těchto případech Vercel neaplikuje šifrování v klidovém stavu a spoléhá se na klasifikaci stanovenou správcem.

Co bylo kompromitováno

Podle zpráv na hackerových fórech útočník, který se nazývá ShinyHunters, prohlásil o prodeji následujících dat:

  • Klíče API (včetně tokenů NPM a GitHub)
  • Přístup k interním nasazením Vercel Enterprise
  • Zdrojový kód interních nástrojů
  • Databáze se 580 záznamy zaměstnanců (jména, firemní e-maily, stav účtů, časové razítka aktivity)
  • Screenshoty interního panelu správy

Vercel však oficiálně potvrdila pouze částečný přístup k proměnným prostředí a popírá kompromitaci dat zákazníků nebo veřejných projektů, jako jsou Next.js a Turbopack. Všechny zákaznické proměnné označené jako tajné zůstávají zašifrované a nepřístupné.

Google AdInline article slot

Doporučení Vercel pro vývojáře

Společnost důrazně doporučuje všem uživatelům, zejména vlastníkům firemních účtů, provést následující kroky:

  • Zkontrolovat seznam autorizovaných OAuth aplikací v Google Workspace a odvolat přístup u podezřelých nebo nepoužívaných aplikací.
  • Provést audit proměnných prostředí: ujistit se, že všechna citlivá data (klíče API, tokeny, hesla) jsou označena jako Confidential v rozhraní Vercel.
  • Aktivovat funkci kontroly důvěrných proměnných, která je nyní dostupná v aktualizovaném panelu správy.
  • Změnit všechny klíče a tokeny, které mohly být odhaleny, i když byly uloženy v nedůvěrných proměnných.
  • Nastavit MFA a politiky podmíněného přístupu pro všechny účty s přístupem k infrastruktuře.

Lekce pro DevOps a SRE týmy

Incident ve Vercel ukazuje, jak zranitelný může být řetězec důvěry při používání externích integrací. I v zralé infrastruktuře s vícevrstvou ochranou může stačit jeden kompromitovaný OAuth token jako vstupní bod pro horizontální pohyb.

Klíčové závěry pro technické týmy:

Google AdInline article slot
  • Princip minimálních privilegií musí platit nejen pro uživatele, ale i pro OAuth aplikace. Oprávnění musí být striktně omezena na nezbytné minimum.
  • Automatická klasifikace tajemství je lepší než manuální. Pokud systém umožňuje ukládat proměnné bez šifrování ve výchozím nastavení, vytváří to falešný pocit bezpečnosti.
  • Monitorování anomální aktivity v Identity Provider (např. Google Workspace) by mělo být součástí SOC strategie. Neobvyklé geolokace, nová zařízení nebo masové API požadavky jsou signály pro okamžité odvolání tokenů.

Co je důležité

  • Únik začal kompromitací účtu přes externí AI platformu Context.ai.
  • Přístup k datům byl možný díky ukládání citlivých proměnných bez označení Confidential.
  • Zákaznická data v zašifrované podobě nebyla kompromitována.
  • Vercel vydala aktualizace rozhraní pro lepší řízení tajemství.
  • Útok zdůrazňuje rizika spojená s OAuth integracemi a důvěrou ve služby třetích stran.

— Editorial Team

Advertisement 728x90

Číst dál