Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
PrivateDevOps · 28.4., 20:10 · sikkerhet

Vercel-brudd startet i Context.ai: angripere stjal klartekst-miljøvariabler via OAuth-kjede

SYNOPSIS_GENERERT

Et kompromittert KI-verktøy med OAuth-tilgang til en Vercel-ansatts Google Workspace ga angripere tilgang til klartekst-API-nøkler hos kundeprosjekter. Vercel anbefaler umiddelbar rotasjon av alle plaintext-miljøvariabler, ikke bare for varslede kunder.

Vercel publiserte 19. april en hendelsesbulletin om uautorisert tilgang til et avgrenset sett kundekontoer, hvor klartekst-miljøvariabler (API-nøkler, database-credentials, signeringsnøkler, webhook-secrets, OAuth client secrets) ble eksponert. Bulletinen er oppdatert sju ganger mellom 19. og 24. april etter hvert som omfanget vokser. PrivateDevOps' analyse 28. april kartlegger inngangsvektoren: angrepskjeden begynte ikke i Vercel, men i et tredjepartsverktøy.

Kjeden er pedagogisk klar: en Vercel-ansatt brukte Context.ai i daglig arbeid, angriperen kompromitterte Context.ai først, pivoterte til den ansattes Google Workspace via OAuth-tilgangen, og nådde derfra interne Vercel-systemer. Bulletinen fremhever to kjennetegn ved aktøren: høy operasjonell hastighet mellom stegene, og detaljert kjennskap til Vercels produkt-API. Det er signaturen til en forberedt motstander, ikke opportunistisk skanning.

«SaaS KI-hjelper, så bedriftsidentitet, så produktplattform. De fleste team behandler ikke KI-verktøy som del av identitetsperimeteret enda, og det gapet er det angriperen monetiserte.» — PrivateDevOps, hendelsesanalyse 28. april

Krypterte miljøvariabler ble ikke eksponert, ifølge Vercel, og npm-pakkene knyttet til berørte kontoer er verifisert ikke-tuklet. Risikoen er likevel bredere enn de eksplisitt rammede kontoene fordi tokens lekker lateralt. En read-only-token til én tjeneste pluss en publish-nøkkel fra en annen kan kjedes til et langt verre utfall enn hver av dem alene. Måten å tenke på klartekst-env-vars akkurat nå er at hver verdi i listen er en credential en ukjent part kan ha.

Vercel jobber med Google Mandiant, GitHub, Microsoft, npm og Socket. Etterforskningen pågår, og bulletinen er ikke endelig. For norske utviklere som shipper gjennom Vercel betyr det: kostnaden ved å rotere noen titalls tokens er noen timer ingeniørtid, kostnaden ved å vente på personlig varsel er den samme rotasjonen pluss det angriperen rakk i mellomtiden.

Hva bør du gjøre?

  1. Inventarier hver klartekst-miljøvariabel på tvers av alle Vercel-prosjektene dine. Eksporter listen og behandle den som et credential-register, ikke en konfigurasjonsliste.
  2. Roter ved kilden først. Bytt hemmeligheten i den oppstrøms tjenesten (databasen, sky-leverandøren, SaaS-API-et) før du pusher den nye verdien til Vercel. Roterer du kun på plattformen, lever den gamle credential-en et annet sted.
  3. Migrer til sensitive (krypterte) variabler eller ekstern secret manager som AWS Secrets Manager, GCP Secret Manager eller HashiCorp Vault. Gjør «ingen nye klartekst-env-vars i produksjon» til standardregel.
  4. Revider KI-verktøy-inventaret ditt. Lag liste over hvert KI-verktøy med tilgang til ansattes innbokser, kalendere, dokumenter, kode eller produksjonssystemer. Reduser tilgang eller fjern den der nytteverdien ikke rettferdiggjør perimeter-eksponeringen.

Bakgrunn

Mønsteret «SaaS KI-hjelper til bedriftsidentitet til produktplattform» er ferskt, men nå gjenkjennelig. Context.ai er et KI-verktøy bygget rundt OAuth-integrasjoner mot Workspace-data. Den samme arkitekturklassen finnes hos titalls KI-startups som ber om bred lesetilgang for å gi «bedre kontekst». Det Vercel-tilfellet illustrerer er at en bedriftsansatts produktivitetsverktøy ikke lenger kan vurderes isolert fra produksjonsmiljøet bedriften shipper til.

Åpne eksternt kildedokument
sikkerhetverktøyutvikling

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN