ShinyHunter は、情報を盗み、恐喝を行うことを主な業務とするハッカー チームで、最近、有名なクラウド開発プラットフォーム Vercel をダウンさせました。プラットフォームが攻撃された後、一部の内部機密情報と顧客情報が漏洩した。プラットフォームは現在、影響を受ける顧客に対し、さまざまな認証情報を直ちにローテーションし、アクティビティ ログを確認するよう通知しています。
当初、バーセル氏は攻撃の原因を公表していなかった。当時、ソースはAIツールContext.aiから来ているという噂がありました。その後、Vercel はセキュリティ インシデントのページを更新し、この声明を確認しました。同社の従業員は Context.AI を使用して侵害されました。ハッカーはツールのアクセス権を使用して Vercel Google Workspace アカウントを制御し、このアカウントを使用して内部環境に侵入しました。
スクリーンショットは、Vercel が Telegram を通じてハッカーに連絡し、データを公開しないようハッカーに依頼したことを示しています。しかし、ハッカーの恐喝は主に金銭目的です。ハッカーはデータの機密性と引き換えに 200 万ドルを要求しています。 Vercel がデータの機密性と引き換えに身代金を提供するかどうかは不明です。
ヴァーセル氏は、影響を受けたのは少数の顧客だけだと述べた。
Vercel は、セキュリティ インシデントの最新情報の中で、このセキュリティ インシデントにより少数の顧客データが盗まれただけであると強調しました。同社は現在、セキュリティ対策を強化し、さまざまな種類の認証情報をローテーションするために、これらの顧客と非公開で連絡を取っている。 Vercel氏はまた、Vercel内で機密とマークされた情報は読み取ることが許可されていなかったため、ハッカーが盗んだ内部情報は機密ではないと強調し、そのためハッカーはVercelの機密情報を取得しなかったと述べた。
攻撃を受けたかどうかの判断方法も非常に簡単です。 Google または Google Workspace コンソールにログインし、OAuth アプリケーションに 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com が含まれているかどうかを確認します (Google 担当者がアプリケーションを削除したようです。認証履歴を表示できるかどうかはわかりません)
この OAuth 認証アプリケーションが存在する場合、ユーザーはハッキングされたことを意味します。この時点で、ユーザーは直ちにすべての資格情報をローテーションし、異常なログイン動作がないかさまざまなサービスをチェックする必要があります。ハッカーが資格情報を使用してサーバーにログインすることにより、他の永続性バックドアもインストールしている可能性があるためです。
Context.AI はまだ応答を投稿していません。
Vercel はこのセキュリティ インシデントについて Context.AI に通知しましたが、Context.AI はまだ返答を出していません。 Bluedotがブログをチェックしたところ、Context.AIが昨夜、他のコンテンツを紹介する3つのブログを公開したが、セキュリティ関連のコンテンツについては一切言及していないため、ハッカーがどのようにしてContext.AIに侵入したのかは全く不明である。
したがって、Context.AI を使用しているユーザーも、すぐにさまざまな認証情報を確認してローテーションし、異常なログイン動作がないかどうかを確認することをお勧めします。もちろん、より高いセキュリティを追求する場合は、異常な動作が見つからなかった場合でも、すべての資格情報を直接ローテーションする必要があります。
ヴェルセル経由