知名網路應用程式託管與開發平台 vercel 最近證實,其遭遇了安全漏洞事件。一名自稱為「shinyhunters」組織成員的駭客,該組織近期曾入侵 rockstar games,已將部分竊取資料公開於網路上,其中包括員工姓名、電子郵件地址及活動時間戳記,並試圖出售剩餘資料。
vercel 於社交媒體平台 x 發布公告,確認此安全事件,但強調僅有少數客戶受到影響。公司表示,此次攻擊是透過一個遭入侵的第三方 ai 工具發動,但未透露具體涉及哪家廠商。隨後的調查證實,該第三方 ai 工具所使用的 google cloud workspace oauth 應用程式遭受大規模入侵,可能波及數百個組織中的眾多用戶。
針對這起事件,vercel 建議管理員檢閱操作日誌,留意可疑活動,並採取額外的防護措施,例如驗證與定期更換環境變數,以防止 api 金鑰、令牌或其他敏感資訊外洩。此外,公司也公佈了相關的威脅指標,協助業界同行偵測自身環境中潛在的惡意活動,同時呼籲 google cloud workspace 管理員及 google 帳戶持有者立即審查受影響應用程式的使用情況。目前,vercel 表示已採取措施控制事態;然而,利用 ai 工具作為間接攻擊媒介的做法,再次引發業界對第三方服務供應鏈安全的高度關注。
