Retour à l'accueil

Fuite Vercel : Comment le piratage OAuth a compromis les variables d'environnement

Analyse de l'incident de sécurité Vercel causé par le compromis de compte via une plateforme AI tierce. Détails techniques de l'attaque, conséquences et recommandations pour les développeurs sur la protection des variables d'environnement et des intégrations OAuth.

Vercel piraté : Leçons de sécurité pour les développeurs
Advertisement 728x90

## Incident de sécurité chez Vercel : Comment une fuite OAuth a conduit à un compromis des variables d'environnement

La plateforme de développement cloud Vercel a confirmé un accès non autorisé à ses systèmes internes après que le compte d'un employé ait été compromis via une application OAuth malveillante dans Google Workspace. L'incident a été rendu possible par une fuite de données sur la plateforme d'IA tierce Context.ai, permettant à l'attaquant d'accéder à des variables d'environnement non marquées comme confidentielles.

Bien que les services principaux de Vercel aient continué à fonctionner sans interruption et que les données des clients soient restées chiffrées et intactes, la brèche a révélé des faiblesses critiques dans la gestion des secrets et la dépendance aux intégrations tierces. L'entreprise a rapidement informé les forces de l'ordre, fait appel à des experts externes en réponse aux incidents, et déployé des mises à jour du tableau de bord pour renforcer le contrôle sur les variables confidentielles.

Comment la brèche s'est produite

L'attaque a pris sa source dans le compte Google Workspace d'un employé de Vercel. L'attaquant a obtenu l'accès après que les identifiants du compte aient été divulgués sur la plateforme Context.ai, qui utilise l'IA pour automatiser les flux de travail. Via ce compte, un jeton OAuth a été autorisé pour l'application avec l'ID 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com.

Google AdInline article slot

Cette application, construite par un outil tiers, disposait de permissions excessives, incluant l'accès aux ressources internes de Google Workspace. Une fois le jeton obtenu, l'attaquant s'est déplacé latéralement dans l'infrastructure de Vercel et a accédé à des variables d'environnement non explicitement marquées comme confidentielles. Dans ces cas, Vercel ne les chiffre pas au repos, se fiant plutôt aux classifications définies par les administrateurs.

Ce qui a été compromis

Selon des publications sur des forums de hackers, l'attaquant, se faisant appeler "ShinyHunters", a revendiqué vendre les données suivantes :

  • Clés API (y compris des jetons NPM et GitHub)
  • Accès aux déploiements internes Vercel Enterprise
  • Code source d'outils internes
  • Base de données avec 580 enregistrements d'employés (noms, e-mails professionnels, statuts de comptes, horodatages d'activité)
  • Captures d'écran du tableau de bord interne

Cependant, Vercel n'a officiellement confirmé qu'un accès partiel aux variables d'environnement et nie tout compromis des données des clients ou des projets publics comme Next.js et Turbopack. Toutes les variables clients marquées comme secrètes restent chiffrées et inaccessibles.

Google AdInline article slot

Recommandations de Vercel pour les développeurs

L'entreprise exhorte fortement tous les utilisateurs, en particulier les propriétaires de comptes enterprise, à prendre ces mesures :

  • Vérifier la liste des applications OAuth autorisées dans Google Workspace et révoquer l'accès pour toute application suspecte ou inutilisée.
  • Auditer les variables d'environnement : s'assurer que toutes les données sensibles (clés API, jetons, mots de passe) sont marquées comme Confidentielles dans le tableau de bord Vercel.
  • Activer la fonctionnalité de révision des variables confidentielles, désormais disponible dans le tableau de bord mis à jour.
  • Régénérer toutes les clés et jetons qui ont pu être exposés, même s'ils étaient stockés dans des variables non confidentielles.
  • Mettre en place MFA et des politiques d'accès conditionnel pour tous les comptes ayant accès à l'infrastructure.

Leçons pour les équipes DevOps et SRE

L'incident Vercel met en lumière à quel point la chaîne de confiance peut être fragile avec les intégrations tierces. Même dans une infrastructure mature et multicouche, un seul jeton OAuth compromis peut permettre un mouvement latéral.

Principales leçons pour les équipes techniques :

Google AdInline article slot
  • Le principe du moindre privilège doit s'appliquer aux applications OAuth, pas seulement aux utilisateurs. Les permissions doivent être strictement limitées au strict minimum nécessaire.
  • La classification automatique des secrets l'emporte sur le manuel à chaque fois. Autoriser des variables non chiffrées par défaut crée un faux sentiment de sécurité.
  • Surveiller les activités anormales dans le fournisseur d'identité (par ex., Google Workspace) doit faire partie intégrante de la stratégie SOC. Géolocalisations inhabituelles, nouveaux appareils ou requêtes API en masse sont des signaux d'alarme pour une révocation immédiate des jetons.

Points clés

  • La fuite a commencé par un compromis de compte via la plateforme d'IA tierce Context.ai.
  • L'accès aux données était possible parce que les variables sensibles manquaient du drapeau Confidentiel.
  • Les données clients chiffrées n'ont pas été compromises.
  • Vercel a publié des mises à jour du tableau de bord pour améliorer la gestion des secrets.
  • L'attaque souligne les risques des intégrations OAuth et de la confiance dans les services tiers.

— Editorial Team

Advertisement 728x90

Lire ensuite