La plataforma de desarrollo en la nube Vercel ha revelado un incidente de
seguridad luego de que ciberdelincuentes afirmaran haber vulnerado sus
sistemas e intentaran vender los datos robados.
Vercel ha confirmado la brecha de seguridad mientras actores de amenazas
afirman estar vendiendo datos robados. En un boletín de seguridad, la compañía indicó que un subconjunto limitado de clientes se vio afectado
por una brecha de seguridad.
Vercel es una plataforma en la nube que proporciona infraestructura de
alojamiento e implementación para desarrolladores, con un fuerte enfoque en
frameworks de JavaScript. La compañía es conocida por desarrollar Next.js, un
framework de React ampliamente utilizado, y por ofrecer servicios como
funciones sin servidor, computación perimetral y pipelines de CI/CD que
permiten a los desarrolladores crear, previsualizar e implementar
aplicaciones.
«Hemos identificado un incidente de seguridad que implicó el acceso no
autorizado a ciertos sistemas internos de Vercel», advierte Vercel.
«Estamos investigando activamente y hemos contratado a expertos en
respuesta a incidentes para que nos ayuden en la investigación y la
remediación. Hemos notificado a las autoridades y actualizaremos esta página
a medida que avance la investigación».
La empresa afirma que sus servicios no se han visto afectados y que está
trabajando con los clientes afectados. Vercel indica que está tomando medidas
para proteger a sus clientes, aconsejándoles que
revisen las variables de entorno, utilicen su
función de variables de entorno sensibles
y roten las claves secretas si es necesario.
Tras la publicación de esta noticia, Vercel actualizó su aviso para indicar
que la brecha se originó por la vulneración de la aplicación OAuth de Google
Workspace de una herramienta de IA de terceros.
Vercel recomienda a los administradores de Google Workspace y a los
propietarios de cuentas de Google que revisen la siguiente aplicación:
Aplicación OAuth: 110671459871-
30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com
Posteriormente, Guillermo Rauch, CEO de Vercel,
compartió detalles adicionales sobre X, indicando que
el acceso inicial se produjo después de que la cuenta de Google Workspace
de un empleado de Vercel se viera comprometida mediante una brecha en la
plataforma de IA Context.ai.
Según Rauch, el atacante escaló el acceso desde la cuenta comprometida a los
entornos de Vercel, donde pudo acceder a variables de entorno que no estaban
marcadas como sensibles y, por lo tanto, no estaban cifradas en reposo. Si
bien estaban destinadas a contener información no sensible, el atacante obtuvo
acceso adicional tras enumerar estas variables.
«Vercel almacena todas las variables de entorno de los clientes
completamente cifradas en reposo. Contamos con numerosos mecanismos de
defensa en profundidad para proteger los sistemas centrales y los datos de
los clientes», afirmó Rauch.
«Sin embargo, tenemos la capacidad de designar las variables de entorno
como ‘no sensibles’. Desafortunadamente, el atacante obtuvo acceso adicional
mediante su enumeración». La investigación de la compañía ha confirmado que Next.js, Turbopack y sus
demás proyectos de código abierto siguen siendo seguros.
Vercel también ha implementado actualizaciones en su panel de control,
incluyendo una página de resumen de variables de entorno y una interfaz
mejorada para gestionar variables de entorno sensibles.
Se recomienda encarecidamente a los clientes que revisen las variables de
entorno en busca de información sensible y que activen la función de
variables sensibles para garantizar su cifrado en reposo.
Recomendaciones
La investigación continúa pero, mientras tanto, estas son las mejores
prácticas que puede seguir para su tranquilidad:
-
Revise el registro de actividad de su cuenta y entornos en busca de
actividad sospechosa. Puede revisar los registros de actividad en el
panel de control
o mediante
CLI. -
Revise y rote las variables de entorno. Las variables de entorno marcadas como «confidenciales» en Vercel se
almacenan de forma que se impide su lectura, y actualmente no tenemos
evidencia de que se haya accedido a esos valores. Sin embargo, si alguna de
sus variables de entorno contiene secretos (claves API, tokens, credenciales
de base de datos, claves de firma) que no se marcaron como confidenciales,
esos valores deben tratarse como potencialmente expuestos y rotarse con
prioridad. -
Aproveche la función de
variables de entorno confidenciales
en el futuro para proteger los valores secretos de futuras lecturas. -
Investigue las
implementaciones recientes
en busca de implementaciones inesperadas o sospechosas. En caso de duda,
elimine las implementaciones en cuestión. -
Asegúrese de que la
Protección de Implementación
esté configurada como mínimo en Estándar. -
Rote sus tokens de
Protección de Implementación, si los tiene configurados.
Para obtener ayuda para rotar sus secretos o para cualquier otro tipo de
asistencia técnica, póngase en contacto
vercel.com/help.
Fuente:
BC