Zurück zur Startseite

Vercel Leak: Wie der OAuth-Hack Umgebungsvariablen kompromittiert hat

Analyse des Vercel-Sicherheitsvorfalls durch Account-Kompromittierung über Drittanbieter-AI-Plattform. Technische Details des Angriffs, Folgen und Empfehlungen für Entwickler zum Schutz von Umgebungsvariablen und OAuth-Integrationen.

Vercel gehackt: Sicherheitslektionen für Entwickler
Advertisement 728x90

Vercel-Sicherheitsvorfall: Wie ein OAuth-Leak zum Kompromittieren von Umgebungsvariablen führte

Die Cloud-Entwicklungsplattform Vercel hat unbefugten Zugriff auf ihre internen Systeme bestätigt, nachdem das Konto eines Mitarbeiters über eine bösartige OAuth-App in Google Workspace kompromittiert wurde. Der Vorfall wurde durch einen Datenleak auf der Drittanbieter-KI-Plattform Context.ai ausgelöst, der es dem Angreifer ermöglichte, auf Umgebungsvariablen zuzugreifen, die nicht als vertraulich markiert waren.

Obwohl die Kernservices von Vercel weiterhin reibungslos liefen und Kundendaten verschlüsselt und unberührt blieben, enthüllte der Einbruch kritische Schwächen in der Verwaltung sensibler Daten und der Abhängigkeit von Drittanbieter-Integrationen. Das Unternehmen hat umgehend Strafverfolgungsbehörden informiert, externe Incident-Response-Experten hinzugezogen und Dashboard-Updates ausgerollt, um die Kontrolle über vertrauliche Variablen zu verschärfen.

Wie der Vorfall zustande kam

Der Angriff ging vom Google Workspace-Konto eines Vercel-Mitarbeiters aus. Der Angreifer erhielt Zugriff, nachdem die Kontoanmeldedaten auf der Plattform Context.ai geleakt wurden, die KI zur Automatisierung von Workflows einsetzt. Über dieses Konto wurde ein OAuth-Token für die App mit der ID 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com autorisiert.

Google AdInline article slot

Diese App, die von einem Drittanbieter-Tool erstellt wurde, verfügte über übermäßige Berechtigungen, einschließlich Zugriff auf interne Google Workspace-Ressourcen. Sobald der Token erlangt war, bewegte sich der Angreifer seitwärts in die Vercel-Infrastruktur vor und griff auf Umgebungsvariablen zu, die nicht explizit als vertraulich markiert waren. In diesen Fällen verschlüsselt Vercel sie nicht im Ruhezustand, sondern verlässt sich stattdessen auf von Admins festgelegte Klassifizierungen.

Was wurde kompromittiert

Laut Beiträgen auf Hacker-Foren behauptet der Angreifer, der unter dem Namen „ShinyHunters“ unterwegs ist, folgende Daten zu verkaufen:

  • API-Schlüssel (einschließlich NPM- und GitHub-Token)
  • Zugriff auf interne Vercel Enterprise-Deployments
  • Quellcode interner Tools
  • Datenbank mit 580 Mitarbeiterdatensätzen (Namen, Firmen-E-Mails, Konto-Status, Aktivitäts-Zeitstempel)
  • Screenshots des internen Dashboards

Vercel hat jedoch offiziell nur teilweisen Zugriff auf Umgebungsvariablen bestätigt und jede Kompromittierung von Kundendaten oder öffentlichen Projekten wie Next.js und Turbopack bestritten. Alle als geheim markierten Kundenvariablen bleiben verschlüsselt und unzugänglich.

Google AdInline article slot

Vercels Empfehlungen für Entwickler

Das Unternehmen fordert alle Nutzer eindringlich auf, insbesondere Inhaber von Enterprise-Accounts, folgende Maßnahmen zu ergreifen:

  • Überprüfen Sie die Liste der autorisierten OAuth-Apps in Google Workspace und widerrufen Sie den Zugriff für alle verdächtigen oder ungenutzten.
  • Auditen Sie Umgebungsvariablen: Stellen Sie sicher, dass alle sensiblen Daten (API-Schlüssel, Token, Passwörter) im Vercel-Dashboard als vertraulich markiert sind.
  • Aktivieren Sie die Überprüfungsfunktion für vertrauliche Variablen, die nun im aktualisierten Dashboard verfügbar ist.
  • Rotiere alle Schlüssel und Token, die möglicherweise offengelegt wurden, auch wenn sie in nicht-vertraulichen Variablen gespeichert sind.
  • Richten Sie MFA und bedingte Zugriffsrichtlinien für alle Konten mit Infrastrukturzugriff ein.

Lehren für DevOps- und SRE-Teams

Der Vercel-Vorfall unterstreicht, wie zerbrechlich die Vertrauenskette bei Drittanbieter-Integrationen sein kann. Sogar in einer ausgereiften, mehrschichtigen Infrastruktur kann ein einzelner kompromittierter OAuth-Token laterale Bewegung ermöglichen.

Wichtige Erkenntnisse für technische Teams:

Google AdInline article slot
  • Das Prinzip der geringsten Rechte muss auf OAuth-Apps angewendet werden, nicht nur auf Benutzer. Berechtigungen sollten strikt auf das absolut Nötige beschränkt sein.
  • Automatische Klassifizierung sensibler Daten ist der manuellen immer überlegen. Unverschlüsselte Variablen als Standard zuzulassen, erzeugt falsche Sicherheit.
  • Überwachung anomaler Aktivitäten im Identitätsanbieter (z. B. Google Workspace) sollte Kern Ihrer SOC-Strategie sein. Ungewöhnliche Geolokationen, neue Geräte oder Massen-API-Anfragen sind Warnsignale für sofortigen Token-Widerruf.

Wichtige Punkte

  • Der Leak begann mit der Kompromittierung eines Kontos über die Drittanbieter-KI-Plattform Context.ai.
  • Datenzugriff war möglich, weil sensible Variablen das vertraulich-Flag fehlten.
  • Verschlüsselte Kundendaten wurden nicht kompromittiert.
  • Vercel hat Dashboard-Updates zur Verbesserung der Verwaltung sensibler Daten veröffentlicht.
  • Der Angriff hebt Risiken von OAuth-Integrationen und Vertrauen in Drittanbieter-Services hervor.

— Editorial Team

Advertisement 728x90

Weiterlesen