00:00:00Eine Person installiert Roblox-Hacks, was dazu führt, dass Vercel gehackt wird und möglicherweise
00:00:04alle Umgebungsvariablen Ihres Projekts kompromittiert werden, und die Hacker verlangen 2 Millionen Dollar für die gestohlenen
00:00:09Daten.
00:00:10Ja, das ist eine verrückte und beängstigende Geschichte, also legen wir los.
00:00:17Dies ist Vercels Ankündigung des Hacks, in der es heißt, sie hätten einen Sicherheitsvorfall identifiziert,
00:00:21der unbefugten Zugriff auf bestimmte interne Vercel-Systeme beinhaltete.
00:00:25Diese Systeme konnten auf Ihre nicht-sensiblen Umgebungsvariablen zugreifen, welche übrigens standardmäßig
00:00:29die meisten sind, und enthielten außerdem jede Menge interner Unternehmensdaten.
00:00:33Das ist auch der Angreifer, der diese Daten verkauft und behauptet, man könne bösartige NPM-Pakete veröffentlichen,
00:00:37die Millionen infizieren würden.
00:00:38Aber wie kamen die Angreifer an diese Informationen?
00:00:40Nun, dafür müssen wir der Geschichte eines Vercel-Mitarbeiters folgen.
00:00:44Sie suchen Hilfe bei dieser Arbeit, sie suchen nach Optionen,
00:00:47die sie haben, um sie an eine KI auszulagern, und sie stoßen auf ein Produkt namens Context.ai, speziell
00:00:52dieses Legacy-Produkt namens AI Office Suite, ein Tool zum Erstellen von Präsentationen, Dokumenten,
00:00:57Tabellenkalkulationen und zum Schreiben von E-Mails im Namen des Benutzers.
00:01:00Der Vercel-Mitarbeiter beschließt, dies auszuprobieren, und meldet sich mit seinem Vercel-Google-
00:01:04Workspace-Konto an und erteilt ihm "Allowall"-Berechtigungen, die vollen Zugriff auf Google Drive
00:01:09und Gmail gewähren.
00:01:10Nun könnte man meinen, es sei etwas leichtsinnig gewesen, ein Firmenkonto zu verwenden und
00:01:13ihm "Allowall"-Berechtigungen zu geben.
00:01:14Ich meine, das war es irgendwie auch.
00:01:16Aber Context.ai ist ein legitimes Unternehmen.
00:01:19Das ist nicht der Punkt, an dem sein Google-Konto gestohlen wurde.
00:01:21Dafür müssen wir noch tiefer graben.
00:01:23Wir müssen zu einem hochprivilegierten Mitarbeiter von Context.ai gehen.
00:01:27Dieser Mitarbeiter ist damit beschäftigt, Context.ai aufzubauen, versucht, mit der schnelllebigen KI-Welt Schritt zu halten,
00:01:32und möchte sich zurücklehnen und eine Pause machen, vielleicht ein bisschen Roblox spielen.
00:01:35Das Problem ist, ich schätze, sie sind nicht sehr gut in dem Spiel, das sie gespielt haben, also wollten sie
00:01:39eine Abkürzung nehmen und fingen an, nach Roblox-Hacks zu suchen, speziell nach einigen Autofarm-Skripten,
00:01:44und ich schätze, sie haben einen gefunden und heruntergeladen, alles auf einem Firmenlaptop.
00:01:49Ich kann wirklich nicht glauben, dass das passiert ist, es ist so dumm.
00:01:53Vorhersehbarer war, dass der Roblox-Hack, den sie heruntergeladen haben, einen Information-Stealer enthielt,
00:01:57einen, der als LumaStealer bekannt war.
00:01:59Es ist ein bekannter Information-Stealer, der erstmals 2022 gefunden wurde.
00:02:03Und sobald er auf Ihrem Rechner ist, greift er Ihre Live-Session-Cookies und Unternehmensanmeldedaten ab.
00:02:07Und im Fall unseres Context.ai-Mitarbeiters zeigen die Protokolle seines Laptops, dass er Zugriff
00:02:11auf seine Google Workspace-Anmeldedaten sowie auf Schlüssel und Logins für Dinge wie Supabase,
00:02:15Datadog und AuthKit erhielt.
00:02:16Alles, womit er in seinem Browser eingeloggt war, wurde gestohlen.
00:02:19Die Angreifer nutzten diese Anmeldedaten dann, um auf die interne AWS-Umgebung von Context.ai zuzugreifen,
00:02:25und während sie dort herumsuchten, fanden sie den Jackpot.
00:02:27Sie fanden und kompromittierten eine Datenbank mit den OAuth-Tokens für Benutzer ihrer Legacy-
00:02:32AI Office Suite.
00:02:33Und raten Sie mal, wessen Token da direkt lag, bereit, mitgenommen zu werden?
00:02:36Unseres Vercel-Mitarbeiters.
00:02:37Mit diesem Token können die Angreifer nun von Context.ai zu Vercel pivotieren und das
00:02:41Google Workspace-Konto des Vercel-Mitarbeiters übernehmen, ohne jemals ein Passwort zu benötigen oder
00:02:46eine Multi-Faktor-Authentifizierungsaufforderung auszulösen.
00:02:48Mit diesem Konto erhielten die Angreifer Zugriff auf viele interne Vercel-Systeme, wie
00:02:51Linear und sogar ein Backend, das auf nicht-sensible Umgebungsvariablen von Vercel-
00:02:55Benutzerprojekten zugreifen konnte.
00:02:56Wenn Sie noch nie zuvor Umgebungsvariablen in Vercel festgelegt haben, mussten Sie manuell ein Feld
00:03:00ankreuzen, um die Variable als "sensibel" zu markieren.
00:03:02Wenn Sie das taten, wurde sie stark verschlüsselt und vor internen Systemen maskiert, aber der Standard
00:03:06war "nicht-sensibel", und diese können im Klartext entschlüsselt und intern aufgerufen werden.
00:03:10All dies führt uns zum 19. April, an dem die Angreifer, die sich "Shiny Hunters" nennen,
00:03:15in Breach-Foren posten und 2 Millionen Dollar für die gestohlenen Daten verlangen.
00:03:19Sie behaupten, Quellcode, NPM-Tokens, GitHub-Tokens, Mitarbeiterdatensätze zu haben, und posten sogar einen
00:03:23Screenshot des internen Vercel-Enterprise-Dashboards als Beweis dafür, dass sie Zugriff haben.
00:03:27Interessanterweise haben Mitglieder der tatsächlichen "Shiny Hunters"-Gruppe jegliche Beteiligung an
00:03:31diesem Vorfall bestritten, was bedeutet, dass es sich nur um einen Partner oder einen Betrüger handeln könnte, der versucht, ihre Marke auszunutzen,
00:03:36aber unabhängig davon löste sich all das durch einen verdammten Roblox-Hack aus.
00:03:40Sobald Vercel von dem Hack wusste, begannen sie mit der Incident Response und sie bestätigten,
00:03:43dass zentrale Open-Source-Projekte wie Next.js und Turbo Pack völlig sicher seien, und sie
00:03:48stellten auch sicher, dass alle neuen Umgebungsvariablen jetzt standardmäßig auf "sensibel" gesetzt sind.
00:03:52Das ist also der Überblick über den Hack, aber wenn Sie ein Vercel-Nutzer wie ich sind, haben Sie wahrscheinlich
00:03:55eine Menge Arbeit vor sich.
00:03:56Sie müssen davon ausgehen, dass alle nicht-sensiblen Umgebungsvariablen, die Sie auf Vercel hatten, kompromittiert wurden,
00:04:00und Sie müssen diese Schlüssel aktiv an der Quelle rotieren.
00:04:03Sie können das Projekt nicht einfach löschen und Vercel verlassen.
00:04:06Wenn Sie ein Unternehmen sind, das befürchtet, dass ein Mitarbeiter Context.ai verwendet hat, können Sie auch in
00:04:10Google Workspace gehen und Ihre autorisierten OAuth-Apps prüfen, wobei Sie speziell nach der kompromittierten
00:04:14Context.ai-App-ID suchen, und ich hinterlasse hier den Link zu dem Blogpost über den Info-Stealer, der
00:04:19Details dazu enthält, was zu tun ist.
00:04:20Die Moral von der Geschichte ist jedoch, dass ein überberechtigtes KI-Tool und ein zufälliger Mitarbeiter,
00:04:24der versucht, bei Roblox zu betrügen, alles sind, was nötig ist, um eine der größten Infrastruktur-
00:04:28Plattformen im Web zu kompromittieren.
00:04:29Bitte laden Sie keine Spiele-Hacks auf Ihren Arbeitslaptop herunter, oder ehrlich gesagt, alles, dem Sie
00:04:33nicht vertrauen.
00:04:34Lassen Sie mich in den Kommentaren unten wissen, was Sie davon halten, während Sie dort sind,
00:04:37abonnieren Sie und wie immer, wir sehen uns im nächsten Video.
00:04:40[Musik]