00:00:00один человек устанавливает читы для Roblox, из-за чего Vercel подвергается взлому, потенциально компрометируя
00:00:04все переменные окружения вашего проекта, а хакеры требуют 2 миллиона долларов за украденные
00:00:09данные.
00:00:10Да, это безумная и пугающая история, так что давайте начнем.
00:00:17Это объявление Vercel о взломе, в котором говорится, что они выявили инцидент безопасности,
00:00:21который включал несанкционированный доступ к определенным внутренним системам Vercel.
00:00:25Эти системы могли получить доступ к вашим неконфиденциальным переменным окружения, которые по умолчанию
00:00:29обычно таковыми и являются, а также содержали массу внутренних корпоративных данных.
00:00:33А вот и хакер, продающий эти данные, утверждая, что вы могли бы выпустить вредоносные NPM-пакеты,
00:00:37которые заразили бы миллионы.
00:00:38Но как хакеры получили эту информацию?
00:00:40Ну, для этого нам нужно проследить историю одного сотрудника Vercel.
00:00:44Он ищет помощи в работе, рассматривает варианты,
00:00:47как переложить её на ИИ, и натыкается на продукт под названием Context.ai, а именно
00:00:52на тот устаревший продукт под названием AI Office Suite, который был инструментом для создания презентаций, документов,
00:00:57электронных таблиц и написания писем от имени пользователя.
00:01:00Сотрудник Vercel решает попробовать это, и регистрируется, используя свой рабочий Google-аккаунт Vercel,
00:01:04и предоставляет ему полные права доступа, что дает ему полный доступ к их Google Диску
00:01:09и Gmail.
00:01:10Сейчас вы можете подумать, что было немного опрометчиво использовать корпоративный аккаунт и давать
00:01:13ему полные права доступа.
00:01:14В общем-то, так и было.
00:01:16Но Context.ai — это легальная компания.
00:01:19Это не тот момент, когда его Google-аккаунт был украден.
00:01:21Для этого нам нужно копнуть еще глубже.
00:01:23Нам нужно перейти к сотруднику Context.ai с высоким уровнем доступа.
00:01:27Этот сотрудник занят созданием Context.ai, пытаясь не отставать от быстро меняющегося мира ИИ,
00:01:32и хочет расслабиться и сделать перерыв, возможно, поиграть немного в Roblox.
00:01:35Проблема в том, что, полагаю, он не очень хорош в игре, в которую играл, поэтому захотел
00:01:39срезать путь и начал искать читы для Roblox, особенно какие-нибудь скрипты для автофарма,
00:01:44и, полагаю, нашел один и скачал его, и всё это на рабочем ноутбуке.
00:01:49Я искренне не могу поверить, что это произошло, это так глупо.
00:01:53Что более предсказуемо, скачанный им чит для Roblox содержал инфостилер,
00:01:57известный как LumaStealer.
00:01:59Это хорошо известный инфостилер, впервые обнаруженный в 2022 году.
00:02:03И как только он оказывается на вашем компьютере, он считывает ваши активные сессионные куки и корпоративные учетные данные.
00:02:07И в случае с нашим сотрудником Context.ai, логи с его ноутбука показывают, что он получил доступ
00:02:11к его учетным данным Google Workspace, а также к ключам и логинам для таких сервисов, как Supabase,
00:02:15Datadog и AuthKit.
00:02:16Всё, во что он был залогинен в своем браузере, было украдено.
00:02:19Затем хакеры использовали эти учетные данные для доступа к внутренней среде AWS компании Context.ai,
00:02:25и, осматриваясь там, они нашли джекпот.
00:02:27Они обнаружили и скомпрометировали базу данных, содержащую OAuth-токены пользователей их устаревшего
00:02:32AI Office Suite.
00:02:33И угадайте, чей токен лежал прямо там, готовый к тому, чтобы его забрали?
00:02:36Нашего сотрудника Vercel.
00:02:37С помощью этого токена хакеры теперь могут переключиться с Context.ai на Vercel, захватив
00:02:41Google Workspace аккаунт сотрудника Vercel без необходимости вводить пароль или вызывать
00:02:46запрос на многофакторную аутентификацию.
00:02:48С помощью этого аккаунта хакеры получили доступ ко многим внутренним системам Vercel, таким как
00:02:51Linear, и даже к бэкенду, который мог получить доступ к неконфиденциальным переменным окружения проектов пользователей Vercel.
00:02:55проектов пользователей Vercel.
00:02:56Если вы раньше не настраивали переменные окружения в Vercel, вам нужно было вручную отметить
00:03:00галочкой, чтобы пометить переменную как конфиденциальную.
00:03:02Если вы это сделали, она была бы сильно зашифрована и скрыта от внутренних систем, но по умолчанию
00:03:06она была неконфиденциальной, и их можно было расшифровать в простой текст и получить к ним доступ изнутри.
00:03:10Всё это приводит нас к 19 апреля, когда хакеры, выступающие под именем Shiny Hunters,
00:03:15публикуют на хакерских форумах сообщение с требованием 2 миллионов долларов за украденные данные.
00:03:19Они заявляют, что у них есть исходный код, NPM-токены, GitHub-токены, данные сотрудников, и даже публикуют
00:03:23скриншот внутренней панели управления Vercel Enterprise в качестве доказательства того, что у них есть доступ.
00:03:27Интересно, что члены реальной группы Shiny Hunters отрицают какую-либо причастность к
00:03:31этому инциденту, что означает, что это могли быть просто аффилированные лица или самозванцы, пытающиеся заработать на их бренде,
00:03:36но, несмотря на это, всё это началось с чертова чита для Roblox.
00:03:40Как только Vercel узнала о взломе, они начали реагировать на инцидент и подтвердили,
00:03:43что основные open-source проекты, такие как Next.js и Turbopack, были полностью в безопасности, и они
00:03:48также сделали так, что все новые переменные окружения теперь по умолчанию считаются конфиденциальными.
00:03:52Итак, это обзор взлома, но если вы пользователь Vercel, как и я, у вас, вероятно,
00:03:55впереди много работы.
00:03:56Вам нужно исходить из того, что все неконфиденциальные переменные окружения, которые у вас были в Vercel, были
00:04:00скомпрометированы, и вам необходимо активно сменить эти ключи в источнике.
00:04:03Вы не можете просто удалить проект и уйти с Vercel.
00:04:06Также, если вы компания, которая беспокоится, что сотрудник использовал Context.ai, вы можете зайти в
00:04:10Google Workspace и проверить свои авторизованные OAuth-приложения, просматривая в частности скомпрометированный
00:04:14ID приложения Context.ai, и я оставлю ссылку на блог-пост об инфостилере здесь, где есть
00:04:19подробности о том, что нужно сделать.
00:04:20Мораль сей истории в том, что одного инструмента ИИ с избыточными правами доступа и случайного сотрудника,
00:04:24пытающегося сжульничать в Roblox, достаточно, чтобы скомпрометировать одну из крупнейших инфраструктурных
00:04:28платформ в сети.
00:04:29Пожалуйста, не скачивайте игровые читы на свой рабочий ноутбук, или, честно говоря, что угодно,
00:04:33чему вы не доверяете.
00:04:34Дайте знать, что вы думаете обо всем этом, в комментариях ниже, а пока вы там,
00:04:37подписывайтесь, и, как всегда, увидимся в следующем выпуске.
00:04:40[Музыка]