ShinyHunter, een hackerteam dat zich vooral bezighoudt met het stelen van informatie en het lanceren van afpersingen, heeft onlangs het bekende cloudontwikkelingsplatform Vercel platgelegd. Nadat het platform was aangevallen, is er interne gevoelige informatie en klantinformatie gelekt. Het platform informeert momenteel getroffen klanten dat ze onmiddellijk verschillende inloggegevens moeten rouleren en activiteitenlogboeken moeten controleren.

Aanvankelijk maakte Vercel de oorzaak van de aanval niet bekend. Destijds gingen er geruchten dat de bron afkomstig was van de AI-tool Context.ai. Later heeft Vercel de pagina met beveiligingsincidenten bijgewerkt om deze verklaring te bevestigen. De werknemers werden gecompromitteerd door gebruik te maken van Context.AI. De hacker gebruikte de toegangsrechten van de tool om het Vercel Google Workspace-account te controleren en gebruikte dit account vervolgens om de interne omgeving binnen te dringen.

Op de schermafbeelding is te zien dat Vercel via Telegram contact heeft opgenomen met de hacker en de hacker heeft gevraagd geen gegevens te publiceren. De afpersing van de hacker is echter voornamelijk voor geld. De hacker wil 2 miljoen dollar in ruil voor vertrouwelijkheid van gegevens. Het is onduidelijk of Vercel losgeld zal bieden in ruil voor de vertrouwelijkheid van de gegevens.

Vercel zei dat slechts een klein aantal klanten getroffen was:

In zijn beveiligingsincidentupdate benadrukt Vercel dat dit beveiligingsincident slechts heeft geresulteerd in de diefstal van een klein aantal klantgegevens. Het heeft nu privé contact opgenomen met deze klanten om de veiligheidsmaatregelen te versterken en verschillende soorten inloggegevens te rouleren. Vercel benadrukte ook dat de door de hackers gestolen interne informatie niet vertrouwelijk was, omdat informatie die binnen Vercel als gevoelig was gemarkeerd niet mocht worden gelezen, waardoor de hackers niet in het bezit kwamen van de gevoelige informatie van Vercel.

Hoe je kunt beoordelen of je bent aangevallen, is ook heel eenvoudig. Log in op de Google- of Google Workspace-console en controleer of de OAuth-applicatie het volgende bevat: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com (Google-functionarissen lijken de applicatie te hebben verwijderd. Ik weet niet of ik de autorisatiegeschiedenis kan bekijken)

Als er een OAuth-autorisatietoepassing bestaat, betekent dit dat de gebruiker is gehackt. Op dit moment moet de gebruiker onmiddellijk alle inloggegevens rouleren en verschillende services controleren op abnormaal inloggedrag, omdat hackers mogelijk ook andere persistente achterdeurtjes hebben geïnstalleerd door met inloggegevens op de server in te loggen.

Context.AI heeft nog geen reactie geplaatst:

Vercel heeft Context.AI op de hoogte gesteld van dit beveiligingsincident, maar deze heeft nog geen reactie gegeven. Bluedot controleerde zijn blog en ontdekte dat Context.AI gisteravond drie blogs publiceerde om andere inhoud te introduceren, maar geen beveiligingsgerelateerde inhoud vermeldde, dus het is volkomen onduidelijk hoe de hacker Context.AI binnenviel.

Daarom wordt aanbevolen dat gebruikers die Context.AI gebruiken ook onmiddellijk verschillende inloggegevens controleren en rouleren en controleren of er sprake is van abnormaal inloggedrag. Als u een hogere beveiliging nastreeft, moet u uiteraard alle inloggegevens direct rouleren, zelfs als er geen abnormaal gedrag wordt aangetroffen.

via Vercel