Vercelがセキュリティインシデントを確認、脅威者が盗まれたデータの売却を主張

クラウド開発プラットフォームのVercelは、脅威者が盗まれた企業データをオンラインで売却していると主張した後、内部システムへの不正アクセスに関するセキュリティインシデントを確認しました。

「当社の特定の内部Vercelシステムへの不正アクセスを伴うセキュリティインシデントを特定しました」と、同社は述べています。

脅威者がVercelシステムへのアクセスを主張

Vercelはモダンなウェブ開発ワークフローの中心に位置し、Next.jsのようなフレームワークで構築されたアプリケーション向けのホスティング、デプロイメント、およびサーバーレスインフラストラクチャを提供しています。

その立場により、これは高価値なターゲットとなります。内部システムへのアクセスは、プラットフォーム自体だけでなく、開発者環境、CI/CDパイプライン、および依存する本番環境アプリケーションも露出させる可能性があります。

BleepingComputerによると、脅威者は機密性の高い内部データへのアクセスを主張し、認証情報、ソースコード、およびデプロイメントシステムの露出について懸念を引き起こしています。

ShinyHuntersグループとの関係を主張する脅威者は、APIキー、データベースコンテンツ、内部デプロイメントインフラストラクチャを含むVercelデータへのアクセスを売却していると主張しています。

フォーラムの投稿では、行為者はGitHubおよびnpmトークンなどの認証情報、ならびに内部システムとやり取りするために使用できる複数の従業員アカウントへのアクセスを所有していると主張しました。

これらの主張を裏付けるために、攻撃者は名前、企業メールアドレス、アカウントステータス、およびアクティビティタイムスタンプを含む580人の従業員レコードを含むと報告されているサンプルデータセットを共有しました。

内部エンタープライズダッシュボードのように見えるスクリーンショットも投稿されました。

ただし、データセットもスクリーンショットも独立して検証されていないため、違反の範囲と真正性について不確実性が残ります。

主張が正確であることが判明した場合、このインシデントは、アイデンティティとアクセス管理または開発ワークフローに結びついたシステムの潜在的な侵害を指しています。

公開されたAPIキーまたはトークンにより、攻撃者はコードリポジトリにアクセスしたり、デプロイメントパイプラインを操作したり、本番環境サービスと対話したりできます。これは実質的に単一の侵害されたエントリポイントをより広い環境制御に変えます。

脅威者はまた、Vercelとの200万ドルのランサムウェア要求について議論したと主張していますが、同社はそのような交渉が行われているかどうかを確認していません。

認証情報の露出または不正アクセスの可能性に対応するため、組織はリスクを軽減し、環境を保護するための措置を講じるべきです。

開発プラットフォームに影響を与える問題は、単一のシステムを超えて、パイプライン、統合、および本番環境ワークロードに影響を与える可能性があります。

これらの措置を合わせることで、組織は単一の侵害ポイントの影響範囲を減らすことで、レジリエンスを構築し、潜在的なインシデントを抑制するのに役立ちます。

このインシデントは、攻撃者がアクセスの中央集約ポイントとして開発者プラットフォームとクラウドネイティブインフラストラクチャをますます対象としている、より広範なシフトを反映しています。

個々のアプリケーションに焦点を当てるのではなく、彼らはスケーラブルなコード、デプロイメント、および認証情報を管理するサービスを狙っています。

組織がより統合され、サーバーレスなアーキテクチャを採用するにつれて、単一の侵害の潜在的な影響は複数のシステムに拡大する可能性があります。

このシフトは、アクセスを制限し、環境全体での暗黙的な信頼を軽減するのに役立つゼロトラストソリューションの必要性を強調しています。