# Bezpečnostní incident ve Vercel: jak únik přes OAuth vedl ke kompromitaci proměnných prostředí
Platforma cloudového vývoje Vercel potvrdila neoprávněný přístup k interním systémům po prolomení účtu zaměstnance prostřednictvím kompromitované OAuth aplikace v Google Workspace. Incident byl možný díky úniku dat na platformě umělé inteligence Context.ai, což umožnilo útočníkovi získat přístup k proměnným prostředí, které nebyly označeny jako důvěrné.
Ačkoli hlavní služby Vercel fungovaly bez přerušení a data zákazníků v zašifrované podobě zůstala nedotčena, incident odhalil kritickou zranitelnost v řízení tajemství a důvěře v externí integrace. Společnost okamžitě informovala bezpečnostní složky, zapojila externí experty na reakci na incidenty a vydala aktualizace rozhraní pro posílení kontroly nad důvěrnými proměnnými.
Jak došlo k prolomení
Počáteční bod útoku byl účet zaměstnance Vercel v Google Workspace. Útočník k němu získal přístup poté, co byla data tohoto účtu kompromitována na platformě Context.ai, která využívá AI k automatizaci pracovních procesů. Prostřednictvím tohoto účtu byl autorizován OAuth token jménem aplikace s identifikátorem 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com.
Tato aplikace, vyvinutá externím nástrojem, získala nadměrná oprávnění včetně přístupu k interním zdrojům Google Workspace. Po získání tokenu se útočník mohl přesunout do infrastruktury Vercel a získat přístup k proměnným prostředí, které nebyly explicitně označeny jako důvěrné. V těchto případech Vercel neaplikuje šifrování v klidovém stavu a spoléhá se na klasifikaci stanovenou správcem.
Co bylo kompromitováno
Podle zpráv na hackerových fórech útočník, který se nazývá ShinyHunters, prohlásil o prodeji následujících dat:
- Klíče API (včetně tokenů NPM a GitHub)
- Přístup k interním nasazením Vercel Enterprise
- Zdrojový kód interních nástrojů
- Databáze se 580 záznamy zaměstnanců (jména, firemní e-maily, stav účtů, časové razítka aktivity)
- Screenshoty interního panelu správy
Vercel však oficiálně potvrdila pouze částečný přístup k proměnným prostředí a popírá kompromitaci dat zákazníků nebo veřejných projektů, jako jsou Next.js a Turbopack. Všechny zákaznické proměnné označené jako tajné zůstávají zašifrované a nepřístupné.
Doporučení Vercel pro vývojáře
Společnost důrazně doporučuje všem uživatelům, zejména vlastníkům firemních účtů, provést následující kroky:
- Zkontrolovat seznam autorizovaných OAuth aplikací v Google Workspace a odvolat přístup u podezřelých nebo nepoužívaných aplikací.
- Provést audit proměnných prostředí: ujistit se, že všechna citlivá data (klíče API, tokeny, hesla) jsou označena jako Confidential v rozhraní Vercel.
- Aktivovat funkci kontroly důvěrných proměnných, která je nyní dostupná v aktualizovaném panelu správy.
- Změnit všechny klíče a tokeny, které mohly být odhaleny, i když byly uloženy v nedůvěrných proměnných.
- Nastavit MFA a politiky podmíněného přístupu pro všechny účty s přístupem k infrastruktuře.
Lekce pro DevOps a SRE týmy
Incident ve Vercel ukazuje, jak zranitelný může být řetězec důvěry při používání externích integrací. I v zralé infrastruktuře s vícevrstvou ochranou může stačit jeden kompromitovaný OAuth token jako vstupní bod pro horizontální pohyb.
Klíčové závěry pro technické týmy:
- Princip minimálních privilegií musí platit nejen pro uživatele, ale i pro OAuth aplikace. Oprávnění musí být striktně omezena na nezbytné minimum.
- Automatická klasifikace tajemství je lepší než manuální. Pokud systém umožňuje ukládat proměnné bez šifrování ve výchozím nastavení, vytváří to falešný pocit bezpečnosti.
- Monitorování anomální aktivity v Identity Provider (např. Google Workspace) by mělo být součástí SOC strategie. Neobvyklé geolokace, nová zařízení nebo masové API požadavky jsou signály pro okamžité odvolání tokenů.
Co je důležité
- Únik začal kompromitací účtu přes externí AI platformu Context.ai.
- Přístup k datům byl možný díky ukládání citlivých proměnných bez označení Confidential.
- Zákaznická data v zašifrované podobě nebyla kompromitována.
- Vercel vydala aktualizace rozhraní pro lepší řízení tajemství.
- Útok zdůrazňuje rizika spojená s OAuth integracemi a důvěrou ve služby třetích stran.
— Editorial Team
Zatím žádné komentáře.