夜雨聆风
Vercel 发布安全公告:因第三方 AI 工具导致系统入侵
就在刚刚,Vercel 官网发布了一则安全公告,声称发现了一起涉及未经授权访问某些内部系统的入侵事件。
据传,知名黑客组织 ShinyHunters 正在 BreachForums 上以 200 万美元的价格出售 Vercel 内部数据库。
◆ 事件经过
此次安全事件源于公司内部一名员工使用的第三方 AI 工具(Context.ai)遭到入侵。
攻击者利用该工具的访问权限,控制了该员工的 Vercel Google Workspace 账户,从而获得了对部分 Vercel 环境和环境变量的访问权限。
Vercel 解释,那些重要的、防止被读取的环境变量通常会使用 sensitive environment variables。目前,他们暂未发现攻击者访问过这些敏感数据。
但根据攻击者的行动速度和对 Vercel 系统的深入了解,Vercel 团队认为其技术水平极高,他们正与其他网络安全公司、业内同行以及执法部门合作。
此外,Vercel 还直接联系了遭受入侵的 AI 工具 Context.ai,以了解此次攻击的全部范围。
◆ 应对措施
|
|
|
|---|---|
|
|
|
|
|
|
另外,Vercel 发现了小部分客户的凭证遭到泄露,并已经联系他们修改凭证。
如果你暂时未收到 Vercel 的联系,那目前应该相对安全。
Vercel 现在仍在调查数据泄露问题,如果发现进一步的泄露证据,会主动联系客户。
◆ 如果你也在使用 Vercel
官方建议对项目进行如下检查:
-
检查你的环境变量。(项目 → 设置 → 环境变量) -
如果需要的话,轮换你的 API 密钥(确保安全) -
查看近期活动(是否存在异常的使用量或者奇怪的请求)