Az új Vercel-botrány: hackerek pénzzé teszik a lopott adatokat
Érdemes megérteni, hogy a népszerű felhőalapú fejlesztői platformot, a Vercelt jelentős biztonsági incidens érte, melynek során egyes ügyfelek adatai veszélybe kerültek. A támadók azt állítják, hogy sikeresen hozzáfértek a rendszerhez, és most pénzért árulják a megszerzett információkat a sötét weben. A szolgáltatás közkedvelt, különösen a JavaScript-fejlesztők körében, és a Vercel a Next.js keretrendszer fejlesztője; most azonban az adatbiztonsági aggályok miatt került a figyelem középpontjába.
Hogyan történt a támadás?
A vizsgálat eddigi eredményei szerint a támadók egy harmadik féltől származó, MI-felületet biztosító Google Workspace OAuth-alkalmazást törtek fel, és ezen keresztül jutottak hozzá egy Vercel-alkalmazott fiókjához. Ezt követően a támadó a megszerzett fiókon keresztül további hozzáférést szerzett a Vercel környezetében, és elérte azokat a környezeti változókat is, amelyeket nem jelöltek érzékenynek, ezért nem voltak nyugalmi állapotban titkosítva. Bár ezek elsősorban nem tartalmaznak bizalmas információkat, a támadó ezek segítségével mélyebb hozzáférést nyert.
Milyen adatok kerültek ki?
A feltörést követően a támadó – aki magát „ShinyHunters”-ként azonosította – egy fórumon közzétette, hogy hozzájutott API-kulcsokhoz, forráskódokhoz, adatbázis-információkhoz és vállalati belső telepítésekhez is. Bizonyítékként nyilvánosságra hozott egy szövegfájlt, amelyben 580 Vercel-dolgozóra vonatkozó adatok szerepelnek: nevek, céges e-mail-címek, fiókállapotok és aktivitási időbélyegek, sőt egy képernyőképet is a Vercel egyik belső irányítópultjáról. Arról nincs megerősített információ, hogy ezek valóban hitelesek-e, de a támadó állítja, hogy kapcsolatban áll a céggel, és 2 millió dolláros (kb. 740 millió forint) váltságdíjat is követelt.
Milyen lépéseket tett a Vercel?
A cég közölte, hogy az összes környezeti változót alapesetben titkosítva tárolják nyugalmi állapotban, viszont egyes változókat „nem érzékenyként” lehet megjelölni, ezeket érte el a támadó. Fontos lépésként a Vercel most fejlesztéseket vezetett be a kezelőfelületén: áttekinthetőbbé tette a környezeti változókat, egyszerűsítette az érzékeny adatok titkosításának beállítását, valamint intenzívebben kommunikál az érintett ügyfelekkel. Minden Google Workspace-rendszergazdának javasolja, hogy ellenőrizzék a problémás OAuth-alkalmazásokat, valamint mihamarabb cseréljék a titkos kulcsokat és API-tokeneket, ha szükséges.
Biztonsági tanulságok a felhőben
A mostani incidens ismét megmutatta, mennyire fontos a környezeti változók és a hozzáférési jogosultságok megfelelő védelme a felhőalapú fejlesztési környezetekben. A Vercel rendszerein futó nyílt forráskódú projektek – köztük a Next.js és a Turbopack – azonban biztonságban maradtak. Ugyanakkor az ügyfeleknek érdemes alaposan átvizsgálniuk a tárolt környezeti adatokat, és minden érzékeny információt titkosítva tartaniuk, hogy a jövőbeni támadások kockázatát minimalizálják.
A Nemzeti Szabványügyi és Technológiai Intézet úgy döntött, felhagy az alacsonyabb prioritású sérülékenységek súlyossági pontszámainak megállapításával...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Monthly Dystopia (iPhone/iPad)A Monthly Dystopia egy túlélő játék, amelyet George Orwell 1984 című műve inspirált...
🖰 Az AI-k világában már nem csak emberek lehetnek átverés áldozatai: a mesterséges intelligenciák is csúnyán pofára eshetnek, ha valaki elég ügyesen csavarja a kérdéseket...
💡 Az egyedüllét érzése mindannyiunkkal megesik, és ugyan természetes emberi érzelem, mégis képes alattomosan befolyásolni gondolkodásunkat, memóriánkat...
💸 A decentralizált pénzügyi szektorban (DeFi) komoly felfordulást okozott az év eddigi legnagyobb hackje, amely során közel 108 milliárd forintnak megfelelő értékű kriptovalutát tulajdonítottak el...
Tipikus eset, amikor egy világraszóló felfedezőút lassan lezárul. A Voyager 1, amely 49 éve szeli az űrt, mostanra elérte élettartama határát: energiaforrása, a plutóniumalapú termoelektromos generátor évről évre körülbelül 4 wattal kevesebb teljesítményt ad le, és már nincs napelem, sem újratölthető akkumulátor, amely segítene...
A Blue Origin legújabb, harmadszor repülő New Glenn rakétája megint nagyot szólt, de valahogy mégiscsak a partvonalról nézheti a diadalt: a második fokozat műszaki hibája miatt a fedélzeten lévő BlueBird 7 műhold menthetetlen pályán rekedt, vagyis el is búcsúzhatunk tőle – a biztosító viszont fizetni fog, ami azért enyhíti a csapást...
A Northwestern Egyetem kutatói áttörést értek el a fenntartható energiaellátásban: olyan tüzelőanyagcellát fejlesztettek ki, amelynek működését a talajban élő mikroorganizmusok biztosítják...
🚨 Az elmúlt napokban többen kaptak olyan e-maileket, amelyek Apple-fiók módosításáról szóló hivatalos értesítésnek tűnnek, valójában azonban adathalász csalási kísérletek...
Érdemes megvizsgálni, hogy a OnePlus hamarosan bemutatkozó Ace 6 Ultra készüléke nem egyszerűen egy csúcsmobil lesz, hanem kifejezetten játékosoknak tervezett kézi játékkonzollá is alakítható...
👀 Érdekes fordulat, hogy az amerikai Nemzetbiztonsági Ügynökség (NSA) pillanatok alatt rácsapott az Anthropic új mesterségesintelligencia-modelljére, a Mythos Preview-ra, annak ellenére, hogy nem is olyan régen még nyílt háború dúlt a cég és a Pentagon között...
Április 20-án a történelem sorsfordító pillanatai és különös epizódjai váltották egymást: haditengerészeti áttörés Konstantinápoly ostroma előtt, forradalmak és háborúk küszöbei, tudományos áttörések és űrsikerek...
A Blue Origin történelmi sikert ért el, amikor a Never Tell Me the Odds nevű rakétája a New Glenn NG-3 küldetés során sikeresen leszállt az Atlanti-óceánon lebegő Jacklyn drónhajó fedélzetére...
💊 A kutatók azt vizsgálták, hogy a laboratóriumban most először tesztelt új, szintetikus opioid milyen eséllyel válthatja le a morfiumot és a fentanilt, amelyek erős fájdalomcsillapítók, egyben komoly függőségi problémák forrásai is...
A Telix Pharmaceuticals most tényleg történelmet ír: új, kifejezetten agresszív agytumor, vagyis glioblasztóma kezelésére fejlesztett radiofarmakonja már a kulcsfontosságú, III...
Különleges meghajtási koncepcióval állt elő egy feltaláló, amikor a hagyományos propeller–motor rendszert teljesen átértelmezte: itt nem középre került a motor, hanem egy üreges szerkezetet alkotott, amelynek belső oldalára erősítette fel a lapátokat...
🔥 Ha már mindennap kimerülten kelsz fel, fásult vagy, esetleg azt érzed, hogy semmi értelme sincs a munkádnak, akkor könnyen lehet, hogy éppen a kiégés fenyeget...
⚡ A számítástechnika jövője új irányt vesz: kutatók most először tették lehetővé az elektronok vezérlését mágnesek nélkül, egy olyan tulajdonság kihasználásával, amellyel eddig senki sem foglalkozott...
