00:00:00एक व्यक्ति द्वारा Roblox हैक्स इंस्टॉल करने के कारण, Vercel हैक हो गया, जिससे संभावित रूप से
00:00:04आपके सभी प्रोजेक्ट के एनवायरनमेंट वैरिएबल्स खतरे में पड़ गए, और हैकर्स चोरी किए गए
00:00:09डेटा के लिए $2 मिलियन मांग रहे हैं।
00:00:10हाँ, यह एक बहुत ही अजीब और डरावनी कहानी है, तो चलिए शुरू करते हैं।
00:00:17यह Vercel की हैक की घोषणा है, जिसमें कहा गया है कि उन्होंने एक सुरक्षा घटना की पहचान की है
00:00:21जिसमें Vercel के कुछ आंतरिक सिस्टम तक अनधिकृत पहुँच शामिल थी।
00:00:25ये सिस्टम आपके उन एनवायरनमेंट वैरिएबल्स तक पहुँच सकते थे जो संवेदनशील नहीं हैं, जो कि वैसे भी डिफ़ॉल्ट रूप से
00:00:29ज्यादातर होते हैं, और इनके पास ढेर सारा आंतरिक कॉर्पोरेट डेटा भी था।
00:00:33यह हमलावर द्वारा उस डेटा को बेचने का मामला भी है, जिसमें दावा किया गया है कि आप दुर्भावनापूर्ण NPM पैकेज जारी कर सकते हैं
00:00:37जो लाखों लोगों को संक्रमित कर सकते हैं।
00:00:38लेकिन हमलावरों को यह जानकारी कैसे मिली?
00:00:40खैर, इसके लिए हमें Vercel के एक कर्मचारी की कहानी का अनुसरण करना होगा।
00:00:44वे उस काम में मदद की तलाश में थे, वे उन विकल्पों को देख रहे थे जो
00:00:47उनके पास इसे AI पर लोड करने के लिए थे, और उन्हें Context.ai नामक एक उत्पाद मिला, विशेष रूप से
00:00:52वह पुराना उत्पाद जिसे AI ऑफिस सुइट कहा जाता था, जो प्रेजेंटेशन, दस्तावेज़,
00:00:57स्प्रेडशीट बनाने और उपयोगकर्ता की ओर से ईमेल लिखने का एक टूल था।
00:01:00Vercel कर्मचारी ने इसे आजमाने का फैसला किया, और उसने अपने Vercel Google
00:01:04वर्कस्पेस खाते का उपयोग करके साइन अप किया और उसे 'allowall' अनुमतियाँ प्रदान कीं, जिससे उसे उनकी Google ड्राइव
00:01:09और जीमेल तक पूर्ण पहुँच मिल गई।
00:01:10अब, आप सोच सकते हैं कि कंपनी खाते का उपयोग करना और
00:01:13उसे 'allowall' अनुमतियाँ देना थोड़ा लापरवाह था।
00:01:14मेरा मतलब है, यह एक तरह से था ही।
00:01:16लेकिन Context.ai एक वैध कंपनी है।
00:01:19यह वह बिंदु नहीं है जहाँ उसका Google खाता चोरी हुआ था।
00:01:21उसके लिए, हमें और गहराई में जाना होगा।
00:01:23हमें Context.ai के एक अत्यधिक विशेषाधिकार प्राप्त कर्मचारी के पास जाना होगा।
00:01:27यह कर्मचारी Context.ai बनाने में व्यस्त है, तेज़-तर्रार AI दुनिया के साथ बने रहने की कोशिश कर रहा है,
00:01:32और थोड़ा आराम करना चाहता है, शायद थोड़ा Roblox खेलना चाहता है।
00:01:35मुसीबत यह है, मुझे लगता है कि वे उस खेल में बहुत अच्छे नहीं थे जो वे खेल रहे थे, इसलिए वे
00:01:39एक शॉर्टकट लेना चाहते थे और वे Roblox हैक्स, विशेष रूप से कुछ ऑटोफार्म स्क्रिप्ट्स की तलाश करने लगे,
00:01:44और मुझे लगता है कि उन्हें एक मिल गया और उन्होंने इसे डाउनलोड कर लिया, सब कुछ कंपनी के लैपटॉप पर।
00:01:49मुझे वास्तव में विश्वास नहीं हो रहा है कि ऐसा हुआ, यह बहुत ही मूर्खतापूर्ण है।
00:01:53अधिक अनुमानित रूप से, जो Roblox हैक उन्होंने डाउनलोड किया था, उसमें एक इन्फॉर्मेशन स्टीलर था,
00:01:57जिसे LumaStealer के रूप में जाना जाता था।
00:01:59यह एक प्रसिद्ध इन्फॉर्मेशन स्टीलर रहा है जिसे पहली बार 2022 में पाया गया था।
00:02:03और एक बार जब यह आपकी मशीन पर आ जाता है, तो यह आपके लाइव सत्र कुकीज़ और कॉर्पोरेट क्रेडेंशियल्स को स्क्रैप कर लेता है।
00:02:07और हमारे Context.ai कर्मचारी के मामले में, उसके लैपटॉप के लॉग दिखाते हैं कि इसे
00:02:11उसके Google वर्कस्पेस क्रेडेंशियल्स, साथ ही Superbase,
00:02:15Datadog और AuthKit जैसी चीजों के लिए कुंजियों और लॉगिन तक पहुँच मिल गई।
00:02:16वह जो कुछ भी अपने ब्राउज़र पर लॉग इन था, वह सब चोरी हो गया।
00:02:19हमलावरों ने फिर इन क्रेडेंशियल्स का उपयोग Context.ai के आंतरिक AWS वातावरण तक पहुँचने के लिए किया,
00:02:25और वहां इधर-उधर देखते हुए, उन्होंने एक खजाना खोज लिया।
00:02:27उन्हें एक डेटाबेस मिला और उसे समझौता किया गया जिसमें उनके पुराने
00:02:32AI ऑफिस सुइट के उपयोगकर्ताओं के लिए OAuth टोकन थे।
00:02:33और अंदाज़ा लगाइए कि किसका टोकन वहां रखा हुआ था, जिसे लेने के लिए तैयार था?
00:02:36हमारे Vercel कर्मचारी का।
00:02:37इस टोकन के साथ, हमलावर अब Context.ai से Vercel की ओर बढ़ सकते हैं, और
00:02:41बिना पासवर्ड की आवश्यकता के या मल्टी-फैक्टर ऑथेंटिकेशन प्रॉम्प्ट को ट्रिगर किए बिना
00:02:46Vercel कर्मचारी के Google वर्कस्पेस खाते पर कब्ज़ा कर सकते हैं।
00:02:48इस खाते के साथ, हमलावरों को Vercel के कई आंतरिक सिस्टम तक पहुँच मिल गई, जैसे
00:02:51Linear, और यहाँ तक कि एक बैकएंड तक जो Vercel उपयोगकर्ता परियोजनाओं के
00:02:55गैर-संवेदनशील एनवायरनमेंट वैरिएबल्स तक पहुँच सकता था।
00:02:56यदि आपने पहले Vercel में एनवायरनमेंट वैरिएबल्स सेट नहीं किए हैं, तो आपको मैन्युअल रूप से जाँच करनी थी
00:03:00वैरिएबल को संवेदनशील के रूप में चिह्नित करने के लिए एक बॉक्स।
00:03:02यदि आपने ऐसा किया, तो इसे अत्यधिक एन्क्रिप्ट किया जाएगा और आंतरिक सिस्टम से छिपाया जाएगा, लेकिन डिफ़ॉल्ट
00:03:06गैर-संवेदनशील था और इन्हें सादे टेक्स्ट में डिक्रिप्ट किया जा सकता है और आंतरिक रूप से एक्सेस किया जा सकता है।
00:03:10यह सब हमें 19 अप्रैल तक लाता है, जहाँ हमलावर, जो Shiny Hunters के नाम से जाते हैं,
00:03:15ब्रीच फ़ोरम पर चोरी हुए डेटा के लिए $2 मिलियन मांग रहे हैं।
00:03:19वे दावा करते हैं कि उनके पास सोर्स कोड, NPM टोकन, GitHub टोकन, कर्मचारी रिकॉर्ड हैं, और यहाँ तक कि
00:03:23आंतरिक Vercel एंटरप्राइज़ डैशबोर्ड का एक स्क्रीनशॉट भी सबूत के तौर पर पोस्ट करते हैं कि उनके पास पहुँच है।
00:03:27दिलचस्प बात यह है कि वास्तविक Shiny Hunter समूह के सदस्यों ने
00:03:31इसमें किसी भी तरह की संलिप्तता से इनकार किया है, जिसका अर्थ है कि यह सिर्फ कोई सहयोगी या उनके ब्रांड से पैसे कमाने की कोशिश करने वाला कोई बहरूपिया हो सकता है,
00:03:36लेकिन इसकी परवाह किए बिना, यह सब एक Roblox हैक से शुरू हुआ।
00:03:40एक बार जब Vercel को हैक के बारे में पता चला, तो उन्होंने वह घटना प्रतिक्रिया शुरू की, और उन्होंने पुष्टि की
00:03:43कि Next.js और Turbo Pack जैसी मुख्य ओपन-सोर्स परियोजनाएं पूरी तरह सुरक्षित थीं, और उन्होंने
00:03:48यह भी सुनिश्चित किया कि अब सभी नए एनवायरनमेंट वैरिएबल्स डिफ़ॉल्ट रूप से संवेदनशील के रूप में सेट हों।
00:03:52तो यह हैक का अवलोकन है, लेकिन यदि आप मेरी तरह एक Vercel उपयोगकर्ता हैं, तो आप शायद
00:03:55बहुत काम करने वाले हैं।
00:03:56आपको यह मान लेना होगा कि Vercel पर आपके पास मौजूद सभी गैर-संवेदनशील एनवायरनमेंट वैरिएबल्स के साथ
00:04:00समझौता हो गया है, और आपको उन कुंजियों को स्रोत पर सक्रिय रूप से घुमाना (rotate) होगा।
00:04:03आप सिर्फ प्रोजेक्ट को हटाकर Vercel से नहीं हट सकते।
00:04:06साथ ही, यदि आप एक ऐसी कंपनी हैं जिसे चिंता है कि किसी कर्मचारी ने Context.ai का उपयोग किया है, तो आप
00:04:10Google वर्कस्पेस में जा सकते हैं और अपने अधिकृत OAuth ऐप्स का ऑडिट कर सकते हैं, विशेष रूप से समझौता किए गए
00:04:14Context.ai ऐप आईडी की तलाश में, और मैं यहाँ इन्फोस्टीलर ब्लॉग पोस्ट का लिंक छोड़ दूँगा जिसमें
00:04:19क्या करना है, इस बारे में विवरण है।
00:04:20कहानी का सार, हालांकि, यह है कि एक अत्यधिक अनुमतियों वाला AI टूल और एक यादृच्छिक कर्मचारी
00:04:24Roblox में चीट करने की कोशिश कर रहा है, बस इतना ही काफी है वेब के सबसे बड़े इन्फ्रास्ट्रक्चर
00:04:28प्लेटफ़ॉर्म में से एक से समझौता करने के लिए।
00:04:29कृपया गेम हैक को अपने काम के लैपटॉप पर डाउनलोड न करें, या ईमानदार होने के लिए, कुछ भी ऐसा जिसे
00:04:33आप भरोसा नहीं करते हैं।
00:04:34मुझे नीचे कमेंट्स में बताएं कि आप इस सब के बारे में क्या सोचते हैं, जब आप वहां हों,
00:04:37सब्सक्राइब करें, और हमेशा की तरह, अगले वीडियो में मिलते हैं।
00:04:40[संगीत]