00:00:00une personne installe des hacks Roblox, entraînant le piratage de Vercel, compromettant potentiellement
00:00:04toutes les variables d'environnement de votre projet, et les pirates réclament 2 millions de dollars pour les données
00:00:09volées.
00:00:10Oui, c'est une histoire folle et effrayante, alors plongeons dans le vif du sujet.
00:00:17Voici l'annonce de Vercel concernant le piratage, indiquant qu'ils ont identifié un incident de sécurité
00:00:21impliquant un accès non autorisé à certains systèmes internes de Vercel.
00:00:25Ces systèmes pouvaient accéder à vos variables d'environnement non sensibles, qui le sont pour la plupart par défaut
00:00:29soit dit en passant, et contenaient également des tonnes de données d'entreprise internes.
00:00:33Voici également l'attaquant vendant ces données, affirmant qu'il pourrait publier des paquets NPM malveillants
00:00:37qui infecteraient des millions d'utilisateurs.
00:00:38Mais comment les attaquants ont-ils obtenu ces informations ?
00:00:40Eh bien, pour cela, nous devons suivre l'histoire d'un employé de Vercel.
00:00:44Il cherche de l'aide pour ce travail, il regarde les options qu'il
00:00:47a pour déléguer cela à l'IA, et il tombe sur un produit appelé Context.ai, spécifiquement
00:00:52ce produit hérité appelé AI Office Suite, qui était un outil pour créer des présentations, des documents,
00:00:57des feuilles de calcul et rédiger des e-mails au nom de l'utilisateur.
00:01:00L'employé de Vercel décide d'essayer, et il s'inscrit en utilisant son compte Google
00:01:04Workspace de Vercel et lui accorde toutes les permissions, ce qui lui donne un accès complet à son Google Drive
00:01:09et Gmail.
00:01:10Maintenant, vous pourriez penser qu'il était un peu imprudent d'utiliser un compte d'entreprise et de lui
00:01:13donner toutes les permissions.
00:01:14Je veux dire, c'était un peu le cas.
00:01:16Mais Context.ai est une entreprise légitime.
00:01:19Ce n'est pas à ce moment-là que son compte Google a été volé.
00:01:21Pour cela, nous devons aller encore plus loin.
00:01:23Nous devons nous intéresser à un employé hautement privilégié de Context.ai.
00:01:27Cet employé est occupé à construire Context.ai, à essayer de suivre le rythme effréné du monde de l'IA,
00:01:32et veut se détendre et faire une pause, peut-être jouer un peu à Roblox.
00:01:35Le problème, c'est que je suppose qu'il n'est pas très bon au jeu auquel il jouait, alors il voulait
00:01:39prendre un raccourci et il commence à chercher des hacks Roblox, spécifiquement des scripts d'autofarm,
00:01:44et je suppose qu'il en a trouvé un et l'a téléchargé, le tout sur un ordinateur portable d'entreprise.
00:01:49Je ne peux sincèrement pas croire que c'est ce qui s'est passé, c'est tellement stupide.
00:01:53Plus prévisible, le hack Roblox qu'il a téléchargé contenait un voleur d'informations,
00:01:57connu sous le nom de LumaStealer.
00:01:59C'est un voleur d'informations bien connu qui a été découvert pour la première fois en 2022.
00:02:03Et une fois sur votre machine, il récupère vos cookies de session actifs et vos identifiants d'entreprise.
00:02:07Et dans le cas de notre employé de Context.ai, les logs de son ordinateur montrent qu'il a obtenu l'accès
00:02:11à ses identifiants Google Workspace, ainsi qu'aux clés et identifiants pour des services comme Supabase,
00:02:15Datadog et AuthKit.
00:02:16Tout ce sur quoi il était connecté dans son navigateur a été volé.
00:02:19Les attaquants ont ensuite utilisé ces identifiants pour accéder à l'environnement AWS interne de Context.ai,
00:02:25et en fouillant là-dedans, ils ont trouvé un jackpot.
00:02:27Ils ont trouvé et compromis une base de données contenant les jetons OAuth des utilisateurs de leur suite
00:02:32bureautique IA héritée.
00:02:33Et devinez dont le jeton était là, prêt à être pris ?
00:02:36Celui de notre employé de Vercel.
00:02:37Avec ce jeton, les attaquants peuvent maintenant passer de Context.ai à Vercel, en prenant le contrôle du
00:02:41compte Google Workspace de l'employé de Vercel sans jamais avoir besoin d'un mot de passe ou déclencher
00:02:46une invite d'authentification multifacteur.
00:02:48Avec ce compte, les attaquants ont eu accès à beaucoup de systèmes internes de Vercel, comme
00:02:51Linear, et même un backend qui pouvait accéder aux variables d'environnement non sensibles des projets
00:02:55utilisateurs de Vercel.
00:02:56Si vous n'avez jamais défini de variables d'environnement dans Vercel auparavant, vous deviez cocher manuellement
00:03:00une case pour marquer la variable comme sensible.
00:03:02Si vous le faisiez, elle serait fortement cryptée et masquée des systèmes internes, mais la valeur par défaut
00:03:06était non sensible et celles-ci peuvent être déchiffrées en texte brut et consultées en interne.
00:03:10Tout cela nous amène au 19 avril, où les attaquants, se faisant appeler Shiny Hunters,
00:03:15publient sur des forums de brèche demandant 2 millions de dollars pour les données volées.
00:03:19Ils prétendent avoir le code source, des jetons NPM, des jetons GitHub, des dossiers d'employés, et publient même
00:03:23une capture d'écran du tableau de bord d'entreprise interne de Vercel comme preuve qu'ils ont accès.
00:03:27Il est intéressant de noter que des membres du groupe Shiny Hunters réel ont nié toute implication dans
00:03:31cette affaire, ce qui signifie qu'il pourrait s'agir simplement d'un affilié ou d'un imposteur essayant de profiter de leur nom,
00:03:36mais indépendamment de cela, tout cela a découlé d'un putain de hack Roblox.
00:03:40Une fois que Vercel a eu connaissance du piratage, ils ont commencé la réponse à l'incident, et ils ont confirmé
00:03:43que les projets open-source principaux comme Next.js et Turbo Pack étaient totalement en sécurité, et ils
00:03:48ont également fait en sorte que toutes les nouvelles variables d'environnement soient maintenant définies comme sensibles par défaut.
00:03:52C'est donc un aperçu du piratage, mais si vous êtes un utilisateur de Vercel comme moi, vous avez probablement
00:03:55beaucoup de travail devant vous.
00:03:56Vous devez supposer que toutes les variables d'environnement non sensibles que vous aviez sur Vercel ont été
00:04:00compromises, et vous devez activement faire pivoter ces clés à la source.
00:04:03Vous ne pouvez pas simplement supprimer le projet et quitter Vercel.
00:04:06De plus, si vous êtes une entreprise qui craint qu'un employé ait utilisé Context.ai, vous pouvez aller dans
00:04:10Google Workspace et auditer vos applications OAuth autorisées, en cherchant spécifiquement l'ID
00:04:14compromis de l'application Context.ai, et je laisserai le lien vers le blog sur le voleur d'informations ici, qui contient
00:04:19des détails sur la marche à suivre.
00:04:20La morale de cette histoire, cependant, est qu'un outil IA sur-autorisé et un employé aléatoire
00:04:24essayant de tricher à Roblox suffisent pour compromettre l'une des plus grandes plateformes d'infrastructure
00:04:28du Web.
00:04:29S'il vous plaît, ne téléchargez pas de hacks de jeux sur votre ordinateur de travail, ou pour être honnête, quoi que ce soit que
00:04:33vous ne connaissez pas.
00:04:34Dites-moi ce que vous pensez de tout cela dans les commentaires ci-dessous, et pendant que vous y êtes,
00:04:37abonnez-vous, et comme toujours, à la prochaine.
00:04:40[Musique]