Vercel ujawnił incydent związany z nieautoryzowanym dostępem do swoich wewnętrznych systemów. Sytuacja dotyczy ograniczonej liczby klientów.
Platforma hostingowa opublikowała biuletyn bezpieczeństwa 19 kwietnia. Firma wzywa wszystkich użytkowników do natychmiastowego sprawdzenia swoich zmiennych środowiskowych.
Co wydarzyło się w Vercel
Według oficjalnego oświadczenia Vercel, atakujący uzyskali nieautoryzowany dostęp do określonych systemów wewnętrznych. Firma zaangażowała ekspertów ds. reagowania na incydenty i powiadomiła organy ścigania.
Deweloper Theo Browne podał dodatkowe szczegóły. Zwrócił uwagę, że najbardziej ucierpiały integracje Vercel z Linear oraz GitHub.
Zmiennych środowiskowych oznaczonych jako „wrażliwe” w platformie atak nie naruszył.
Warto profilaktycznie obrócić wszystkie zmienne, które nie mają oznaczenia „wrażliwe”.
Metoda naruszenia mogła dotyczyć także innych firm poza Vercel. Pełna skala naruszenia pozostaje nieznana, ponieważ dochodzenie trwa.
Dlaczego projekty krypto powinny zwrócić uwagę
Wiele frontów krypto i Web3 wdraża się na Vercel, od łączników portfeli po interfejsy zdecentralizowanych aplikacji.
Projekty, które przechowują klucze API, prywatne punkty RPC lub sekrety portfeli w niewrażliwych zmiennych, są narażone na ryzyko ujawnienia.
Naruszenie nie stanowi zagrożenia dla blockchainów ani smart kontraktów. Te działają niezależnie od hostingu frontendów.
Niemniej skompromitowane pipeline’y wdrożeniowe mogą umożliwić manipulacje podczas budowania dla dotkniętych kont.
Nie pojawiły się dotąd dowody na takie manipulacje.
Vercel zaleca przegląd wszystkich zmiennych środowiskowych oraz włączenie funkcji wrażliwych zmiennych.
Eksperci ds. bezpieczeństwa zalecają również wygenerowanie nowych tokenów GitHub powiązanych z integracjami Vercel i audyt ostatnich logów budowania pod kątem przechowywanych poświadczeń.
Ten incydent przypomina o ryzykach, jakie niesie centralizowany hosting w zdecentralizowanym środowisku.
