Vercel เผยแพร่การวิเคราะห์เหตุการณ์ความปลอดภัย: เครื่องมือ AI ของบุคคลที่สามถูกแฮ็ก ส่งผลให้เกิดการเข้าถึงโดยไม่ได้รับอนุญาต ขณะนี้ยังไม่มีการเปลี่ยนแปลงข้อมูลที่ละเอียดอ่อน

Odaily ข่าวสาร Vercel ได้เผยแพร่การวิเคราะห์เหตุการณ์ความปลอดภัย โดยระบุว่าระบบภายในบางส่วนของบริษัทถูกเข้าถึงโดยไม่ได้รับอนุญาต สาเหตุมาจากเครื่องมือ AI ของบุคคลที่สามชื่อ Context.ai ที่พนักงานคนหนึ่งใช้ถูกแฮ็ก ผู้โจมตีใช้ช่องโหว่นี้เข้าควบคุมบัญชี Google Workspace ของพนักงานดังกล่าวและเข้าถึงข้อมูลการกำหนดค่าสภาพแวดล้อมบางส่วน

ผลกระทบเบื้องต้นคือตัวแปรสภาพแวดล้อมจำนวนเล็กน้อยของลูกค้าที่ไม่ได้ถูกทำเครื่องหมายว่า "ละเอียดอ่อน" (เช่น API Key, Token เป็นต้น) อาจถูกเปิดเผย Vercel ได้แจ้งเตือนผู้ใช้ที่เกี่ยวข้องและแนะนำให้หมุนเวียนข้อมูลประจำตัวทันที ปัจจุบันยังไม่มีหลักฐานแสดงว่าข้อมูลที่ถูกทำเครื่องหมายว่า "ละเอียดอ่อน" หรือห่วงโซ่อุปทาน (เช่น แพ็คเกจ npm) ถูกเปลี่ยนแปลง

Vercel ระบุว่าผู้โจมตีมีทักษะทางเทคนิคในระดับสูง บริษัทได้ร่วมมือกับ Mandiant และหน่วยงานความปลอดภัยหลายแห่งเพื่อดำเนินการสอบสวน และได้แจ้งความกับหน่วยงานบังคับใช้กฎหมายแล้ว พร้อมทั้งเน้นย้ำว่าบริการแพลตฟอร์มยังคงทำงานปกติตามปกติ ในขณะเดียวกันก็แนะนำให้ผู้ใช้เปิดใช้งานการยืนยันตัวตนหลายปัจจัย หมุนเวียนตัวแปรสภาพแวดล้อมทั้งหมดที่อาจถูกเปิดเผย และตรวจสอบบันทึกกิจกรรมบัญชีและบันทึกการปรับใช้ เพื่อป้องกันความเสี่ยงเพิ่มเติม