00:00:00una persona instala trucos para Roblox, hace que Vercel sea hackeado, posiblemente comprometiendo
00:00:04todas las variables de entorno de tus proyectos, y los hackers piden 2 millones de dólares por los
00:00:09datos robados.
00:00:10Sí, esta es una historia loca y aterradora, así que entremos en materia.
00:00:17Este es el anuncio de Vercel sobre el hackeo, diciendo que identificaron un incidente de seguridad
00:00:21que involucró acceso no autorizado a ciertos sistemas internos de Vercel.
00:00:25Estos sistemas podían acceder a tus variables de entorno no sensibles, que por cierto
00:00:29la mayoría lo son por defecto, y también tenían montones de datos corporativos internos.
00:00:33Esto es también el atacante vendiendo esos datos, afirmando que podrías lanzar paquetes NPM maliciosos
00:00:37que infectarían a millones.
00:00:38¿Pero cómo obtuvieron esta información los atacantes?
00:00:40Bueno, para eso, tenemos que seguir la historia de un empleado de Vercel.
00:00:44Están buscando ayuda con ese trabajo, están buscando opciones que
00:00:47tienen para delegarlo a la IA, y tropiezan con un producto llamado Context.ai, específicamente
00:00:52ese producto heredado llamado AI Office Suite, que era una herramienta para crear presentaciones, documentos,
00:00:57hojas de cálculo y escribir correos electrónicos en nombre del usuario.
00:01:00El empleado de Vercel decide probarlo, y se registra usando su cuenta de Google Workspace
00:01:04de Vercel y le otorga permisos totales ("allowall") que le dan acceso completo a su Google Drive
00:01:09y Gmail.
00:01:10Ahora, podrías pensar que fue un poco imprudente usar una cuenta de la empresa y darle
00:01:13permisos totales.
00:01:14Quiero decir, en cierto modo lo fue.
00:01:16Pero Context.ai es una empresa legítima.
00:01:19Este no es el punto donde robaron su cuenta de Google.
00:01:21Para eso, tenemos que ir aún más profundo.
00:01:23Tenemos que ir a un empleado altamente privilegiado de Context.ai.
00:01:27Este empleado está ocupado construyendo Context.ai, tratando de seguir el ritmo del vertiginoso mundo de la IA,
00:01:32y quiere relajarse y tomar un descanso, quizás jugar un poco de Roblox.
00:01:35El problema es que supongo que no son muy buenos en el juego que estaban jugando, así que querían
00:01:39tomar un atajo y comienzan a buscar trucos para Roblox, específicamente algunos scripts de autofarm,
00:01:44y supongo que encontraron uno y lo descargaron, todo en una computadora portátil de la empresa.
00:01:49Sinceramente, no puedo creer que esto sea lo que pasó, es tan estúpido.
00:01:53Más previsiblemente, el truco de Roblox que descargaron tenía un ladrón de información en él,
00:01:57uno conocido como LumaStealer.
00:01:59Ha sido un ladrón de información bien conocido que se encontró por primera vez en 2022.
00:02:03Y una vez en tu máquina, extrae tus cookies de sesión en vivo y credenciales corporativas.
00:02:07Y en el caso de nuestro empleado de Context.ai, los registros de su computadora portátil muestran que obtuvo acceso
00:02:11a sus credenciales de Google Workspace, así como claves e inicios de sesión para cosas como Supabase,
00:02:15Datadog y AuthKit.
00:02:16Cualquier cosa en la que estuviera conectado en su navegador fue robada.
00:02:19Los atacantes luego usaron estas credenciales para acceder al entorno interno de AWS de Context.ai,
00:02:25y mientras miraban por ahí, encontraron un premio gordo.
00:02:27Encontraron y comprometieron una base de datos que contenía los tokens OAuth para los usuarios de su
00:02:32AI Office Suite heredada.
00:02:33Y adivina de quién estaba el token justo ahí, listo para ser tomado.
00:02:36El de nuestro empleado de Vercel.
00:02:37Con este token, los atacantes ahora pueden pivotar desde Context.ai hacia Vercel, tomando el control
00:02:41de la cuenta de Google Workspace del empleado de Vercel sin necesidad de una contraseña o activar
00:02:46una solicitud de autenticación de múltiples factores.
00:02:48Con esta cuenta, los atacantes obtuvieron acceso a muchos de los sistemas internos de Vercel, como
00:02:51Linear, e incluso a un backend que podía acceder a variables de entorno no sensibles de los proyectos
00:02:55de los usuarios de Vercel.
00:02:56Si nunca has configurado variables de entorno en Vercel antes, tenías que marcar manualmente
00:03:00una casilla para marcar la variable como sensible.
00:03:02Si lo hacías, estaría fuertemente cifrada y enmascarada de los sistemas internos, pero el valor predeterminado
00:03:06era no sensible y estas pueden ser descifradas a texto plano y accedidas internamente.
00:03:10Todo esto nos lleva al 19 de abril, donde los atacantes, bajo el nombre de Shiny Hunters,
00:03:15publican en foros de brechas pidiendo 2 millones de dólares por los datos robados.
00:03:19Afirman que tienen código fuente, tokens NPM, tokens de GitHub, registros de empleados, e incluso publican
00:03:23una captura de pantalla del panel de control empresarial interno de Vercel como prueba de que tienen acceso.
00:03:27Curiosamente, miembros del grupo real Shiny Hunters han negado cualquier participación en
00:03:31esto, lo que significa que podría ser solo un afiliado o un impostor tratando de sacar provecho de su marca,
00:03:36pero independientemente de eso, todo esto surgió de un maldito truco de Roblox.
00:03:40Una vez que Vercel se dio cuenta del hackeo, comenzaron la respuesta a incidentes, y confirmaron
00:03:43que los proyectos principales de código abierto como Next.js y TurboPack estaban completamente seguros, y también
00:03:48hicieron que todas las nuevas variables de entorno ahora sean sensibles por defecto.
00:03:52Así que esa es la visión general del hackeo, pero si eres un usuario de Vercel como yo, probablemente
00:03:55tienes mucho trabajo por delante.
00:03:56Debes asumir que todas las variables de entorno no sensibles que tenías en Vercel han sido
00:04:00comprometidas, y necesitas rotar activamente esas claves en la fuente.
00:04:03No puedes simplemente borrar el proyecto y salirte de Vercel.
00:04:06Además, si eres una empresa que está preocupada de que un empleado haya usado Context.ai, puedes ir a
00:04:10Google Workspace y auditar tus aplicaciones OAuth autorizadas, buscando específicamente el ID de la aplicación
00:04:14Context.ai comprometida, y dejaré el enlace a la publicación del blog sobre el InfoStealer aquí, que tiene
00:04:19detalles sobre qué hacer.
00:04:20La moraleja de la historia, sin embargo, es que una herramienta de IA con permisos excesivos y un empleado al azar
00:04:24intentando hacer trampa en Roblox es todo lo que se necesita para comprometer una de las mayores plataformas de
00:04:28infraestructura en la web.
00:04:29Por favor, no descargues trucos de juegos en tu computadora portátil de trabajo, o para ser honesto, cualquier cosa que
00:04:33no confíes.
00:04:34Déjame saber qué piensas de todo esto en los comentarios de abajo, mientras estás allí,
00:04:37suscríbete, y como siempre, nos vemos en la próxima.
00:04:40[Música]