Giám đốc điều hành của Vercel cho biết một nhóm tin tặc "rất tinh vi", có thể được hỗ trợ bởi trí tuệ nhân tạo, đứng sau sự cố bảo mật gần đây làm lộ một số thông tin đăng nhập của khách hàng sau khi hệ thống nội bộ bị xâm nhập.
"Chúng tôi tin rằng nhóm tấn công rất tinh vi và tôi nghi ngờ mạnh mẽ rằng chúng được tăng tốc đáng kể nhờ trí tuệ nhân tạo," Giám đốc điều hành Guillermo Rauch đã tweet , đồng thời cho biết thêm rằng những kẻ tấn công "hành động với tốc độ đáng kinh ngạc và hiểu biết sâu sắc về Vercel."
Công ty này, một nền tảng điện toán đám mây dành cho các nhà phát triển, cho biết hôm Chủ nhật rằng họ đã phát hiện ra việc truy cập trái phép vào một số hệ thống nội bộ và đang tích cực điều tra. Sự cố này ảnh hưởng đến một nhóm nhỏ khách hàng có thông tin đăng nhập bị xâm phạm, khiến công ty khuyến cáo khách hàng nên thay đổi thông tin đăng nhập ngay lập tức.
Vụ xâm phạm bắt nguồn từ việc Context.ai, một công cụ trí tuệ nhân tạo của bên thứ ba được một nhân viên của Vercel sử dụng, bị xâm nhập, cho phép kẻ tấn công chiếm quyền kiểm soát tài khoản Google Workspace của nhân viên này và truy cập vào một số môi trường của Vercel cũng như các biến môi trường không nhạy cảm.
Thông tin được tiết lộ nêu bật những lo ngại ngày càng tăng về rủi ro bảo mật do việc tích hợp với bên thứ ba và các công cụ hỗ trợ trí tuệ nhân tạo gây ra, khi tin tặc ngày càng khai thác các lỗ hổng trong chuỗi cung ứng để xâm nhập vào các tổ chức.
Natalie Newson, nhà nghiên cứu bảo mật blockchain cấp cao tại CertiK, cho biết với Decrypt rằng sự kiện này đã gây ra sự cấp bách đặc biệt trong giới phát triển tiền điện tử. “Vì nhiều giao diện người dùng tiền điện tử sử dụng Vercel để lưu trữ giao diện của chúng, nên một vụ xâm phạm có thể cho phép kẻ tấn công cài đặt phần mềm rút tiền từ ví. Người dùng tương tác với một trang web đáng tin cậy sẽ không ngờ rằng điều gì độc hại sẽ xảy ra,” cô nói thêm rằng, “Các vụ khai thác trong không gian tiền điện tử có thể dẫn đến tổn thất tài chính đáng kể .”
Ngay cả khi hợp đồng thông minh vẫn an toàn, các lỗ hổng bảo mật ở phía người dùng cuối vẫn tiềm ẩn rủi ro. "Các lỗ hổng bảo mật ở phía người dùng cuối có thể gây thiệt hại nghiêm trọng cho người dùng cuối," bà lưu ý, dẫn chứng vụ việc CoW Swap hồi tháng 4, trong đó một người dùng đã bị mất 316.000 đô la từ ví của mình.
Bà cho biết xu hướng gia tăng trí tuệ nhân tạo (AI) có khả năng tự điều khiển đã dẫn đến việc nhiều người dùng đăng tải các ứng dụng và tiện ích mở rộng mới nhất để nâng cao năng suất, và các đối tượng xấu đang lợi dụng xu hướng này. Bà nói: “Các công ty nên hết sức thận trọng khi sử dụng các ứng dụng và tiện ích mở rộng AI mới, đồng thời xem xét lại các mô hình bảo mật nội bộ để đảm bảo rằng nếu xảy ra vi phạm, tác động sẽ được hạn chế tối đa”.
Rauch cho biết cuộc tấn công diễn ra thông qua “một loạt các thao tác” bắt đầu từ việc xâm nhập tài khoản của nhân viên và leo thang thành việc truy cập rộng hơn vào môi trường nội bộ. Mặc dù Vercel lưu trữ các biến môi trường của khách hàng được mã hóa khi ở trạng thái nghỉ, nhưng công ty cho phép một số biến được đánh dấu là không nhạy cảm, và những kẻ tấn công đã có thể truy cập vào những biến này.
Công ty tin rằng số lượng khách hàng bị ảnh hưởng là có hạn và cho biết họ đã liên hệ với những người có khả năng bị ảnh hưởng một cách ưu tiên. Kể từ đó, Vercel đã triển khai thêm các biện pháp giám sát và bảo vệ, đồng thời xem xét lại chuỗi cung ứng của mình để đảm bảo an toàn cho các dự án như Next.js và Turbopack.
John Woods, CEO của Nillion, nói với Decrypt rằng cụm từ “tập hợp con hạn chế” thường có nghĩa là tập hợp khách hàng bị ảnh hưởng được quan sát cho đến nay có vẻ còn hạn chế, nhưng điều đó không nhất thiết loại trừ khả năng lây lan nội bộ rộng hơn hoặc rủi ro lan rộng hơn về sau. “Trong các nền tảng đám mây hiện đại, phạm vi ảnh hưởng không chỉ liên quan đến số lượng khách hàng bị ảnh hưởng rõ ràng ban đầu, mà còn liên quan đến những hệ thống bị xâm phạm có thể lan đến đâu đằng sau hậu trường,” Woods nói.
Ông khuyến nghị các công ty nên tuân thủ nhiều biện pháp tốt nhất để tránh tình huống này. Ông nói: “Hãy bảo mật các quyền truy cập OAuth, sử dụng quyền tối thiểu, thực thi các biện pháp kiểm soát nghiêm ngặt đối với các biến môi trường nhạy cảm, tách biệt việc triển khai giao diện người dùng khỏi quyền quản lý bí mật hoặc quyền ký, và giám sát chặt chẽ việc triển khai và nhật ký.”
“Đối với bất kỳ ai có thông tin đăng nhập bị đánh cắp, ưu tiên hàng đầu là thu hồi quyền truy cập, thay đổi thông tin đăng nhập và xem xét lại mọi hệ thống mà thông tin đăng nhập đó có thể truy cập được”, ông nói thêm, đồng thời lưu ý rằng, “Ở cấp độ cao hơn, bài học rút ra là tránh những kiến trúc mà chỉ một sự xâm phạm nhỏ cũng có thể gây ra hậu quả quá lớn”.
Hiện vẫn chưa rõ ai đứng sau vụ tấn công. Ảnh chụp màn hình đã xuất hiện cho thấy một người dùng có tên thuộc nhóm hacker “ShinyHunters” tuyên bố trên một diễn đàn rằng họ đã xâm nhập được vào hệ thống của Vercel và đang rao bán quyền truy cập vào dữ liệu của công ty, bao gồm mã nguồn, khóa API và các hệ thống nội bộ.
Diễn viên này, người có thể cũng đang giả mạo ShinyHunters, cũng tuyên bố đã thảo luận về yêu cầu đòi tiền chuộc 2 triệu đô la với công ty. Vercel chưa đưa ra phản hồi ngay lập tức về yêu cầu xác nhận những tuyên bố này.
