Vercel披露了一起安全事件,其内部系统遭到未经授权的访问,影响了少数客户。
4月19日,该网络托管平台发布安全公告,敦促所有用户立即检查其环境变量。
Vercel发生了什么事
根据Vercel的官方声明,攻击者未经授权访问了某些内部系统。该公司已聘请事件响应专家并通知了执法部门。
关注我们的X账号,即可第一时间获取最新消息。
开发者 Theo Browne 分享了更多细节,指出Vercel 的 Linear 和 GitHub 集成首当其冲地受到了攻击。
一位人工智能和技术专家指出:“他们在 BreachForums 上以 200 万美元的价格出售内部数据库 + 员工帐户 + GitHub/NPM 代币。”
但是,平台内标记为“敏感”的环境变量仍然受到保护。
为谨慎起见,未标记为敏感变量的变量应进行轮换。
此次数据泄露事件可能涉及除Vercel以外的多家公司。由于调查仍在进行中,受影响客户的全部范围尚不清楚。
据暗网情报员称,攻击者很可能是 ShinyHunters,这是一个黑帽黑客和勒索组织, 据信参与了大量数据泄露事件。
为什么加密项目应该关注
从钱包连接器到去中心化应用程序接口,许多加密货币和 Web3 前端都部署在 Vercel 上。
将 API 密钥、私有 RPC 端点或钱包相关密钥存储在非敏感环境变量中的项目面临潜在的泄露风险。
此次安全漏洞不会直接威胁区块链或智能合约,因为它们独立于前端托管运行。
然而,理论上,被破坏的部署管道可能会允许对受影响的帐户进行构建篡改。
目前尚未发现任何篡改证据。
Vercel建议检查所有环境变量并启用其敏感变量功能。
安全专家还敦促重新生成与 Vercel 集成关联的 GitHub 令牌,并审核最近的构建日志以查找缓存的凭据。
该事件提醒我们,集中式部署平台在去中心化环境中会带来风险。
