Cuối tuần qua, "ông lớn" trong lĩnh vực lưu trữ ứng dụng đám mây Vercel cho biết tin tặc đã xâm nhập vào hệ thống nội bộ và truy cập trái phép dữ liệu khách hàng. Các hacker khẳng định đã đánh cắp được các thông tin xác thực nhạy cảm từ hệ thống của Vercel và đang rao bán dữ liệu này trên mạng.
Vercel bị tấn công mạng, dữ liệu khách hàng bị rò rỉ qua lỗ hổng từ bên thứ ba
Trong một thông báo vào Chủ nhật, Vercel cho biết vụ rò rỉ bắt nguồn từ một nhà sản xuất phần mềm khác là Context AI. Một nhân viên của Vercel đã tải xuống một ứng dụng do Context AI phát triển và kết nối nó với tài khoản doanh nghiệp (được lưu trữ bởi Google). Tin tặc đã lợi dụng kết nối này (được gọi là OAuth) để chiếm quyền điều khiển tài khoản Google của nhân viên Vercel, từ đó xâm nhập vào một số hệ thống nội bộ, bao gồm cả các thông tin xác thực chưa được mã hóa.
Vercel khẳng định các dự án Next.js và Turbopack của họ không bị ảnh hưởng. Đây là hai dự án mã nguồn mở đang được các nhà phát triển web và ứng dụng sử dụng rộng rãi.
Công ty cho biết đã liên hệ với những khách hàng bị lộ dữ liệu ứng dụng và các mã khóa (keys). Trên mạng xã hội X, CEO của Vercel - ông Guillermo Rauch - đã khuyên khách hàng nên thay đổi (rotate) bất kỳ mã khóa và thông tin xác thực nào trong các lần triển khai ứng dụng, kể cả những mục được đánh dấu là "không nhạy cảm".
Diễn biến về thủ phạm và quy mô
Hiện chưa rõ ai đứng sau vụ tấn công tại Vercel hay Context AI, hoặc liệu chúng có cùng một thủ phạm hay không. Một đối tượng trên diễn đàn tội phạm mạng tuyên bố đại diện cho nhóm hacker ShinyHunters để rao bán dữ liệu. Theo ghi nhận của TechCrunch, bài đăng tuyên bố đang bán quyền truy cập vào các mã API của khách hàng, mã nguồn và dữ liệu cơ sở dữ liệu đánh cắp từ Vercel. Tuy nhiên, nhóm ShinyHunters đã trả lời trang tin an ninh mạng Bleeping Computerrằng họ không liên quan đến vụ việc này.
Dù các chi tiết vẫn đang tiếp tục được làm rõ, vụ xâm nhập này là vụ mới nhất trong chuỗi các cuộc tấn công "chuỗi cung ứng" (supply chain hacks) nhắm vào các nhà phát triển phần mềm có mã nguồn được sử dụng phổ biến trên toàn cầu. Bằng cách tấn công các phần mềm hỗ trợ hạ tầng web, hacker có thể đánh cắp thông tin xác thực từ nhiều mục tiêu cùng lúc và thâm nhập sâu hơn vào dữ liệu của các gã khổng lồ đám mây khác.
Vercel cảnh báo vụ tấn công có thể ảnh hưởng đến "hàng trăm người dùng thuộc nhiều tổ chức khác nhau" chứ không chỉ hệ thống của riêng họ, đồng thời lo ngại về các vụ rò rỉ dây chuyền (downstream breaches) trong toàn ngành công nghệ.
Phản hồi từ Context AI
Context AI (công ty chuyên về đánh giá và phân tích các mô hình AI) đã xác nhận trên website rằng họ từng xảy ra một vụ rò rỉ vào tháng 3 liên quan đến ứng dụng tiêu dùng Context AI Office Suite. Ứng dụng này cho phép người dùng tự động hóa các quy trình làm việc trên nhiều ứng dụng bên thứ ba.
Context AI cho biết ban đầu họ chỉ thông báo cho một khách hàng, nhưng dựa trên sự cố của Vercel, hiện họ tin rằng quy mô vụ việc lớn hơn dự kiến ban đầu. Tin tặc có khả năng đã chiếm đoạt được các mã thông báo OAuth (OAuth tokens) của một số người dùng.
Cả Context AI và Vercel hiện vẫn chưa phản hồi các câu hỏi chi tiết hơn về số lượng khách hàng cụ thể bị ảnh hưởng hoặc các yêu cầu đòi tiền chuộc từ phía hacker.