开发者工具提供商Vercel Inc.近日披露,黑客成功入侵其系统并窃取了少量客户数据。
该公司于周日晚间正式公开了此次安全事件。
Vercel去年估值达93亿美元,主要为开发者提供构建网页应用程序的工具,同时运营可用于托管应用的云基础设施。该公司的产品体系以流行的开源开发框架Node.js为核心支撑。
据Vercel发布的安全公告,此次数据泄露事件的起点是一款名为Context.ai的第三方产品。Context.ai是一个利用人工智能自动处理企业事务的云平台,支持与Google Workspace等第三方服务集成。根据安全公告,黑客首先攻破了Context.ai,随后借此登录了Vercel一名员工的Google Workspace账户。
通过该被盗账户,攻击者获取了部分客户的环境变量访问权限。在Vercel的部署体系中,环境变量是存储单条信息的数据结构,其内容可能涉及数据库密码或加密密钥等敏感信息。
Vercel为客户提供了一项名为"敏感环境变量"的安全防护功能。官方表示,本次泄露仅涉及未启用该功能的数据项。受影响客户此前选择不启用该功能,这在一定程度上说明被泄露的数据可能并不重要,有助于降低此次事件的整体影响。不过,也不排除部分受影响用户只是遗忘了开启该功能。
Vercel估计此次受影响的客户数量"相当有限",但同时指出,Context.ai的其他用户也可能受到波及。
风险投资支持的网络安全公司Expel Inc.高级威胁情报分析师Aaron Walton表示:"Hudson Rock已掌握将Context.ai数据泄露事件与信息窃取恶意软件关联的证据,并锁定了'零号病人'的可能入口。信息窃取类恶意软件已成为当今企业面临的最严峻威胁之一。"
据报道,从Vercel窃取的数据包含数百名员工的相关信息。黑客还获取了多个应用程序编程接口(API)密钥,这些密钥的作用类似于账户密码,其中部分API密钥据报与GitHub代码仓库存在关联。
Vercel员工参与维护Node.js在GitHub上的代码仓库,该框架是支撑公司整个产品线的核心技术。此外,Vercel还维护着多个其他开源项目。一旦开源项目遭到入侵,黑客便可借此发动供应链攻击,进而威胁到大量开发者的系统安全。
Vercel首席执行官Guillermo Rauch在X平台发文,向用户保证:"我们已对供应链进行了全面分析,确认Next.js、Turbopack及众多开源项目对社区用户依然安全。"他还透露,公司已聘请谷歌旗下的Mandiant网络安全服务团队协助调查此次事件。
Vercel建议客户及时更换非敏感环境变量,并提醒管理员审查活动日志,排查潜在的恶意操作迹象。作为事件响应措施的一部分,Vercel已上线一个全新管理面板,帮助客户更便捷地管理和监控环境变量。
Q&A
Q1:Vercel此次数据泄露事件是如何发生的?
A:此次泄露的起点是第三方平台Context.ai遭到黑客攻击。黑客通过入侵Context.ai,成功登录了Vercel一名员工的Google Workspace账户,进而获取了部分客户的环境变量数据,其中可能包含数据库密码、加密密钥等敏感信息,同时还窃取了数百名员工的相关信息及部分API密钥。
Q2:Vercel的"敏感环境变量"功能是什么?能防止此次泄露吗?
A:Vercel的"敏感环境变量"功能是专为保护重要数据而设计的安全特性。根据官方公告,此次泄露的数据仅限于未启用该功能的环境变量。也就是说,凡是提前开启了该功能的客户,其对应数据在本次事件中得到了有效保护,未受波及。
Q3:Vercel泄露事件对开源项目有哪些潜在威胁?
A:由于黑客获取的API密钥部分与GitHub仓库关联,而Vercel员工又参与维护Node.js等开源项目,这意味着攻击者理论上可能借此发动供应链攻击,进而影响到使用这些开源框架的大量开发者。不过,Vercel CEO已公开表示,经过全面排查,Next.js、Turbopack及其他开源项目目前仍处于安全状态。
热门跟贴