00:00:00uma pessoa instalando hacks de Roblox, faz com que a Vercel seja hackeada, possivelmente comprometendo
00:00:04todas as variáveis de ambiente do seu projeto, e os hackers querem US$ 2 milhões pelos dados
00:00:09roubados.
00:00:10Sim, essa é uma história louca e assustadora, então vamos nessa.
00:00:17Este é o anúncio da Vercel sobre o hack, dizendo que identificaram um incidente de segurança
00:00:21que envolveu acesso não autorizado a certos sistemas internos da Vercel.
00:00:25Esses sistemas podiam acessar suas variáveis de ambiente não sensíveis, que a maioria é por padrão
00:00:29a propósito, e também continham toneladas de dados corporativos internos.
00:00:33Este é também o invasor vendendo esses dados, alegando que você poderia lançar pacotes NPM maliciosos
00:00:37que infectariam milhões.
00:00:38Mas como os invasores conseguiram essa informação?
00:00:40Bem, para isso, precisamos seguir a história de um funcionário da Vercel.
00:00:44Eles estão procurando ajuda com esse trabalho, procurando opções que
00:00:47eles têm para delegar isso à IA, e tropeçam em um produto chamado Context.ai, especificamente
00:00:52aquele produto legado chamado AI Office Suite, que era uma ferramenta para criar apresentações, documentos,
00:00:57planilhas e escrever e-mails em nome do usuário.
00:01:00O funcionário da Vercel decide experimentar e se inscreve usando sua conta do Google Workspace
00:01:04da Vercel e concede permissões "allowall" que dão acesso total ao seu Google Drive
00:01:09e Gmail.
00:01:10Agora, você pode pensar que foi um pouco imprudente usar uma conta da empresa e dar
00:01:13permissões "allowall" a ela.
00:01:14Quer dizer, meio que foi.
00:01:16Mas a Context.ai é uma empresa legítima.
00:01:19Não é este o momento em que sua conta do Google foi roubada.
00:01:21Para isso, precisamos ir ainda mais fundo.
00:01:23Precisamos ir até um funcionário altamente privilegiado da Context.ai.
00:01:27Este funcionário está ocupado construindo a Context.ai, tentando acompanhar o mundo acelerado da IA,
00:01:32e quer relaxar e fazer uma pausa, talvez jogar um pouco de Roblox.
00:01:35O problema é que, acho que eles não são muito bons no jogo que estavam jogando, então queriam
00:01:39pegar um atalho e começam a procurar hacks de Roblox, especificamente alguns scripts de autofarm,
00:01:44e acho que encontraram um e fizeram o download, tudo no notebook da empresa.
00:01:49Eu sinceramente não consigo acreditar que foi isso que aconteceu, é tão estúpido.
00:01:53Mais previsivelmente, o hack de Roblox que eles baixaram tinha um ladrão de informações nele,
00:01:57um que era conhecido como LumaStealer.
00:01:59É um ladrão de informações bem conhecido que foi encontrado pela primeira vez em 2022.
00:02:03E uma vez na sua máquina, ele raspa seus cookies de sessão ativos e credenciais corporativas.
00:02:07E no caso do nosso funcionário da Context.ai, os logs de seu laptop mostram que obteve acesso
00:02:11às suas credenciais do Google Workspace, bem como chaves e logins para coisas como Supabase,
00:02:15Datadog e AuthKit.
00:02:16Tudo em que ele estava logado no navegador foi roubado.
00:02:19Os invasores então usaram essas credenciais para acessar o ambiente AWS interno da Context.ai,
00:02:25e enquanto olhavam ao redor, encontraram um jackpot.
00:02:27Eles encontraram e comprometeram um banco de dados contendo os tokens OAuth para usuários de sua suíte
00:02:32de escritório de IA legada.
00:02:33E adivinha de quem era o token que estava bem ali, pronto para ser levado?
00:02:36Do nosso funcionário da Vercel.
00:02:37Com esse token, os invasores agora podem pivotar da Context.ai para a Vercel, assumindo o controle da
00:02:41conta do Google Workspace do funcionário da Vercel sem nunca precisar de uma senha ou acionar
00:02:46um prompt de autenticação de múltiplos fatores.
00:02:48Com essa conta, os invasores tiveram acesso a muitos dos sistemas internos da Vercel, como
00:02:51Linear, e até mesmo um backend que poderia acessar variáveis de ambiente não sensíveis dos projetos
00:02:55dos usuários da Vercel.
00:02:56Se você nunca definiu variáveis de ambiente na Vercel antes, precisava marcar manualmente
00:03:00uma caixa para marcar a variável como sensível.
00:03:02Se você fizesse isso, ela seria fortemente criptografada e mascarada dos sistemas internos, mas o padrão
00:03:06era não sensível e estas podem ser descriptografadas para texto simples e acessadas internamente.
00:03:10Tudo isso nos leva a 19 de abril, onde os invasores, atendendo pelo nome Shiny Hunters,
00:03:15postam em fóruns de violação pedindo US$ 2 milhões pelos dados roubados.
00:03:19Eles afirmam ter código-fonte, tokens NPM, tokens do GitHub, registros de funcionários e até postam
00:03:23uma captura de tela do painel corporativo interno da Vercel como prova de que têm acesso.
00:03:27Curiosamente, membros do grupo Shiny Hunter real negaram qualquer envolvimento
00:03:31nisso, o que significa que poderia ser apenas um afiliado ou um impostor tentando lucrar com a marca deles,
00:03:36mas independentemente disso, tudo isso se originou de um maldito hack de Roblox.
00:03:40Assim que a Vercel tomou conhecimento do hack, eles iniciaram a resposta a incidentes, e confirmaram
00:03:43que projetos de código aberto principais como Next.js e Turbo Pack estavam completamente seguros, e eles
00:03:48também fizeram com que todas as novas variáveis de ambiente agora sejam definidas como sensíveis por padrão.
00:03:52Então essa é a visão geral do hack, mas se você é um usuário da Vercel como eu, provavelmente
00:03:55tem muito trabalho pela frente.
00:03:56Você precisa assumir que todas as variáveis de ambiente não sensíveis que você tinha na Vercel foram
00:04:00comprometidas, e você precisa rotacionar ativamente essas chaves na fonte.
00:04:03Você não pode simplesmente excluir o projeto e sair da Vercel.
00:04:06Além disso, se você é uma empresa que está preocupada que um funcionário tenha usado a Context.ai, você pode ir ao
00:04:10Google Workspace e auditar seus aplicativos OAuth autorizados, procurando especificamente pelo
00:04:14ID do aplicativo Context.ai comprometido, e deixarei o link para a postagem do blog sobre o Infostealer aqui, que tem
00:04:19detalhes sobre o que fazer.
00:04:20A moral da história, no entanto, é que uma ferramenta de IA com permissão excessiva e um funcionário aleatório
00:04:24tentando trapacear no Roblox é tudo o que é preciso para comprometer uma das maiores plataformas
00:04:28de infraestrutura na web.
00:04:29Por favor, não baixe hacks de jogos no seu notebook de trabalho, ou para ser honesto, qualquer coisa que
00:04:33você não confie.
00:04:34Deixe-me saber o que você pensa de tudo isso nos comentários abaixo, e enquanto estiver lá,
00:04:37inscreva-se, e como sempre, vejo você no próximo.
00:04:40[Música]