00:00:00seseorang memasang cheat Roblox, menyebabkan Vercel diretas, yang mungkin membahayakan
00:00:04semua variabel lingkungan proyek Anda, dan para peretas meminta $2 juta untuk data
00:00:09yang dicuri.
00:00:10Ya, ini adalah cerita yang gila dan menakutkan, jadi mari kita bahas.
00:00:17Ini adalah pengumuman Vercel tentang peretasan tersebut, menyatakan bahwa mereka mengidentifikasi insiden keamanan
00:00:21yang melibatkan akses tidak sah ke sistem internal Vercel tertentu.
00:00:25Sistem ini dapat mengakses variabel lingkungan Anda yang tidak sensitif, yang sebagian besar memang begitu secara default
00:00:29omong-omong, dan juga berisi banyak data perusahaan internal.
00:00:33Ini juga pelaku yang menjual data tersebut, mengklaim Anda dapat merilis paket NPM berbahaya
00:00:37yang akan menginfeksi jutaan orang.
00:00:38Tapi bagaimana para penyerang mendapatkan informasi ini?
00:00:40Nah, untuk itu, kita perlu mengikuti kisah salah satu karyawan Vercel.
00:00:44Mereka mencari bantuan untuk pekerjaan itu, mereka mencari opsi yang
00:00:47mereka miliki untuk melimpahkannya ke AI, dan mereka menemukan produk bernama Context.ai, khususnya
00:00:52produk warisan bernama AI Office Suite, yang merupakan alat untuk membuat presentasi, dokumen,
00:00:57spreadsheet, dan menulis email atas nama pengguna.
00:01:00Karyawan Vercel tersebut memutuskan untuk mencobanya, dan dia mendaftar menggunakan Google Workspace
00:01:04milik Vercel-nya dan memberikan izin "allowall" yang memberikan akses penuh ke Google Drive
00:01:09dan Gmail mereka.
00:01:10Sekarang, Anda mungkin berpikir bahwa agak ceroboh menggunakan akun perusahaan dan memberikan
00:01:13izin "allowall".
00:01:14Maksud saya, memang agak begitu.
00:01:16Tapi Context.ai adalah perusahaan yang sah.
00:01:19Ini bukan titik di mana akun Google-nya dicuri.
00:01:21Untuk itu, kita perlu menggali lebih dalam lagi.
00:01:23Kita perlu pergi ke karyawan Context.ai yang sangat berhak istimewa.
00:01:27Karyawan ini sibuk membangun Context.ai, mencoba mengikuti dunia AI yang bergerak cepat,
00:01:32dan ingin bersantai dan istirahat, mungkin bermain Roblox sebentar.
00:01:35Masalahnya, saya rasa mereka tidak terlalu pandai dalam permainan yang mereka mainkan, jadi mereka ingin
00:01:39mengambil jalan pintas dan mereka mulai mencari cheat Roblox, khususnya beberapa skrip autofarm,
00:01:44dan saya rasa mereka menemukannya dan mengunduhnya, semuanya di laptop perusahaan.
00:01:49Saya benar-benar tidak percaya ini yang terjadi, itu sangat bodoh.
00:01:53Lebih mudah ditebak, cheat Roblox yang mereka unduh memiliki pencuri informasi di dalamnya,
00:01:57yang dikenal sebagai LumaStealer.
00:01:59Itu adalah pencuri informasi terkenal yang pertama kali ditemukan pada tahun 2022.
00:02:03Dan setelah berada di komputer Anda, ia akan mengikis cookie sesi langsung dan kredensial perusahaan Anda.
00:02:07Dan dalam kasus karyawan Context.ai kita, log dari laptopnya menunjukkan bahwa ia mendapatkan akses
00:02:11ke kredensial Google Workspace-nya, serta kunci dan login untuk hal-hal seperti Supabase,
00:02:15Datadog dan AuthKit.
00:02:16Apa pun yang dia masuki di browsernya telah dicuri.
00:02:19Para penyerang kemudian menggunakan kredensial ini untuk mengakses lingkungan AWS internal Context.ai,
00:02:25dan saat melihat-lihat di sana, mereka menemukan jackpot.
00:02:27Mereka menemukan dan mengompromikan database yang berisi token OAuth untuk pengguna aplikasi
00:02:32kantor AI warisan mereka.
00:02:33Dan tebak token siapa yang ada di sana, siap untuk diambil?
00:02:36Karyawan Vercel kita.
00:02:37Dengan token ini, para penyerang sekarang dapat beralih dari Context.ai ke Vercel, mengambil alih
00:02:41akun Google Workspace karyawan Vercel tersebut tanpa perlu kata sandi atau memicu
00:02:46permintaan autentikasi multi-faktor.
00:02:48Dengan akun ini, para penyerang mendapatkan akses ke banyak sistem internal Vercel, seperti
00:02:51Linear, dan bahkan backend yang dapat mengakses variabel lingkungan yang tidak sensitif dari proyek
00:02:55pengguna Vercel.
00:02:56Jika Anda belum pernah mengatur variabel lingkungan di Vercel sebelumnya, Anda perlu mencentang
00:03:00kotak secara manual untuk menandai variabel sebagai sensitif.
00:03:02Jika Anda melakukannya, itu akan sangat terenkripsi dan disamarkan dari sistem internal, tetapi defaultnya
00:03:06adalah tidak sensitif dan ini dapat didekripsi menjadi teks biasa dan diakses secara internal.
00:03:10Semua ini membawa kita ke tanggal 19 April, di mana para penyerang, yang menggunakan nama Shiny Hunters,
00:03:15memposting di forum peretasan meminta $2 juta untuk data yang dicuri.
00:03:19Mereka mengklaim memiliki kode sumber, token NPM, token GitHub, catatan karyawan, dan bahkan memposting
00:03:23tangkapan layar dasbor perusahaan Vercel internal sebagai bukti bahwa mereka memiliki akses.
00:03:27Menariknya, anggota kelompok Shiny Hunter yang sebenarnya telah membantah keterlibatan apa pun dalam
00:03:31hal ini, yang berarti itu bisa saja afiliasi atau penipu yang mencoba mencari keuntungan dari merek mereka,
00:03:36tetapi terlepas dari itu, semua ini terjadi karena cheat Roblox sialan.
00:03:40Setelah Vercel menyadari peretasan tersebut, mereka memulai respons insiden, dan mereka mengonfirmasi
00:03:43bahwa proyek sumber terbuka inti seperti Next.js dan Turbo Pack benar-benar aman, dan mereka
00:03:48juga membuat semua variabel lingkungan baru sekarang diatur ke sensitif secara default.
00:03:52Jadi itulah gambaran peretasan tersebut, tetapi jika Anda pengguna Vercel seperti saya, Anda mungkin
00:03:55memiliki banyak pekerjaan di depan Anda.
00:03:56Anda perlu berasumsi bahwa semua variabel lingkungan yang tidak sensitif yang Anda miliki di Vercel telah
00:04:00dikompromikan, dan Anda perlu secara aktif merotasi kunci tersebut di sumbernya.
00:04:03Anda tidak bisa hanya menghapus proyek dan pindah dari Vercel.
00:04:06Juga, jika Anda adalah perusahaan yang khawatir bahwa seorang karyawan menggunakan Context.ai, Anda dapat masuk ke
00:04:10Google Workspace dan mengaudit aplikasi OAuth Anda yang diotorisasi, dengan mencari secara khusus ID aplikasi
00:04:14Context.ai yang dikompromikan, dan saya akan meninggalkan tautan ke posting blog Infostealer di sini yang memiliki
00:04:19detail tentang apa yang harus dilakukan.
00:04:20Namun, moral dari cerita ini adalah bahwa satu alat AI dengan izin berlebih dan karyawan acak
00:04:24yang mencoba berbuat curang di Roblox adalah semua yang diperlukan untuk mengompromikan salah satu platform
00:04:28infrastruktur terbesar di web.
00:04:29Tolong jangan mengunduh cheat game ke laptop kerja Anda, atau jujur saja, apa pun
00:04:33yang tidak Anda percayai.
00:04:34Beri tahu saya pendapat Anda tentang semua ini di kolom komentar di bawah, sambil di sana,
00:04:37berlanggananlah, dan seperti biasa, sampai jumpa di video berikutnya.
00:04:40[Musik]