Vercel heeft laten weten dat aanvallers toegang kregen tot interne systemen. De aanval begon bij Context.ai, een AI-tool die een Vercel-medewerker gebruikte. Via die ingang namen de aanvallers het Google Workspace-account van die medewerker over en konden zo bepaalde Vercel-omgevingen bereiken.
Het cloudplatform voor webontwikkeling meldde het incident op zondag. De aanval vond plaats door eerst Context.ai te comrpomitteren, waarna de aanvallers die toegang gebruikten om het Google Workspace-account van een Vercel-medewerker over te nemen. Vanuit dat account kregen ze toegang tot Vercel-omgevingen en environment variables die niet als ‘gevoelig’ waren gemarkeerd. Variabelen die wel als ‘gevoelig’ zijn aangemerkt, zijn versleuteld opgeslagen en niet uitleesbaar.
Vercel stelt momenteel geen bewijs te hebben dat die waarden zijn bereikt. Slechts een beperkt aantal klanten is getroffen; zij zijn al gecontacteerd zodat zij hun credentials konden roteren. Wie geen bericht heeft ontvangen, heeft volgens Vercel geen reden om aan te nemen dat inloggegevens of persoonlijke data zijn gecompromitteerd.
Hoogopgeleide aanvaller, professionele respons
Vercel omschrijft de aanvaller als ‘zeer verfijnd’, gebaseerd op de snelheid van de operatie en de gedetailleerde kennis van Vercel-systemen die de aanvaller aan de dag legde. Het bedrijf werkt samen met Mandiant en andere cybersecuritybedrijven, concullega’s en opsporingsdiensten. Context.ai is direct benaderd voor onderzoek naar de volledige omvang van de initiële inbreuk.
Uit het aanvankelijke onderzoek is al gebleken dat de OAuth-app van Context.ai bij Google Workspace het aanvalspunt was. Vercel publiceerde een Indicator of Compromise (IOC) zodat Google Workspace-beheerders kunnen controleren of deze app actief is in hun omgeving. De OAuth-app treft mogelijk honderden gebruikers verspreid over meerdere organisaties, waardoor het incident breder reikt dan alleen Vercel.
Aanbevelingen en lopend onderzoek
Vercel raadt klanten aan om logs te controleren op verdachte activiteit. Ook zouden alle environment variables die niet als ‘gevoelig’ zijn aangemerkt, geroteerd moeten worden. Dat is zeker het geval als die API-keys, tokens, database credentials of signing keys bevatten. Daarnaast adviseert het bedrijf recente deployments te controleren op onverwachte activiteit en Deployment Protection minimaal op ‘Standard’ in te stellen.
Het onderzoek naar mogelijke data-exfiltratie loopt nog. Externe bronnen melden dat op BreachForums vermeende Vercel-data wordt aangeboden voor twee miljoen dollar, maar Vercel heeft dit niet bevestigd. De diensten van Vercel zijn operationeel gebleven gedurende het hele incident.
Lees ook: HackerOne getroffen door datalek via externe partner