ثغرة في سلسلة التوريد أصابت منصة ويب أساسية
تقول Vercel إن قراصنة اخترقوا أنظمتها الداخلية ووصلوا إلى بيانات العملاء بعد الاستحواذ على حساب موظف عبر اتصال OAuth مرتبط ببرمجيات من Context AI. وكشفت الشركة أن المهاجمين استخدموا هذا الاتصال للسيطرة على الحساب المؤسسي لموظف في Vercel والمستضاف على Google، ثم انتقلوا إلى بعض الأنظمة الداخلية التي كانت تُخزن فيها بعض بيانات الاعتماد من دون تشفير.
تكتسب هذه الحادثة أهمية تتجاوز بائعًا واحدًا. فـ Vercel موجودة في عمق البنية التحتية الحديثة للويب، وتُستخدم خدماتها المستضافة وأدوات المطورين ومسارات النشر الخاصة بها من قبل عدد كبير من فرق البرمجيات. وعندما تُخترق منصة بهذا الموقع، فإن الخطر لا يتوقف عند الضحية الأولى، بل يمتد عبر بيئات العملاء وبيانات الاعتماد المشتركة وسلاسل توريد البرمجيات التي تعتمد على تلك الأنظمة.
ما الذي تقول Vercel إنه تأثر
بحسب الشركة، كانت بيانات تطبيقات العملاء والمفاتيح من بين المعلومات التي جرى كشفها. وقد تواصلت Vercel مع العملاء المتأثرين، ونصح الرئيس التنفيذي Guillermo Rauch المستخدمين بتدوير أي مفاتيح وبيانات اعتماد في عمليات نشر التطبيقات التي وُسمت بأنها غير حساسة. كما قالت الشركة إن الاختراق لم يؤثر في Next.js أو Turbopack، وهما مشروعاها المفتوحا المصدر واسعَا الاستخدام.
وتشير التقارير إلى أن القراصنة زعموا أنهم سرقوا بيانات اعتماد حساسة للعملاء ويعرضونها للبيع عبر الإنترنت. وقالت قائمة لمهاجم تهديد رصدتها TechCrunch إن البيانات شملت مفاتيح API للعملاء، ورمز المصدر، ومعلومات قواعد البيانات. وادعى هذا الفاعل صلةً بمجموعة ShinyHunters، رغم أن ShinyHunters نفت ضلوعها لوسيلة إعلام أخرى ورد ذكرها في التقرير.
مشكلة OAuth هي التحذير الأكبر
تشير التفاصيل التقنية المنشورة حتى الآن إلى خطر مألوف لكنه ما يزال يُدار بشكل سيئ: عمليات التكامل الموثوقة. صُمم OAuth لتمكين المستخدمين من ربط الخدمات من دون مشاركة كلمات المرور مباشرة، لكنه يخلق أيضًا سلسلة من الوصول المفوض. وإذا تعرض تطبيق واحد في تلك السلسلة للاختراق، فقد يمتد نطاق التأثير إلى أنظمة حيوية للأعمال لم يكن من المفترض أبدًا كشفها.
قالت Vercel إن الاختراق بدأ من Context AI، الذي يتيح تطبيقه الاستهلاكي Office Suite للمستخدمين أتمتة سير العمل عبر تطبيقات الطرف الثالث. وقد أقرت Context AI بوقوع اختراق في مارس مرتبط بذلك التطبيق، وقالت إنها أخطرت وقتها أحد العملاء. وفي ضوء إفصاح Vercel، يبدو أن الحادثة الآن أوسع مما كان مفهوما في البداية.
هذا التسلسل هو ما يجعل الحادثة لافتة. فلم توصف على أنها اقتحام مباشر لمنتجات Vercel الرئيسية، بل يبدو أنها بدأت بموظف يستخدم تطبيقًا متصلًا، ثم تصاعدت عبر الاستيلاء على الحساب إلى وصول داخلي وكشف أسرار. وهذا بالضبط هو المسار غير المباشر الذي تخشاه فرق الأمن مع ازدياد تشابك أنظمة SaaS.
لماذا قد يمتد الأثر أكثر
حذرت Vercel من أن الحادثة قد تؤثر في مئات المستخدمين عبر العديد من المؤسسات، وليس فقط في بيئتها الخاصة. وتشير هذه الصياغة إلى قلق من اختراق لاحق، حيث يمكن أن تصبح المفاتيح أو بيانات التطبيقات المكشوفة نقاط دخول إلى أنظمة العملاء. وبالنسبة للشركات التي تنشر تطبيقات الإنتاج عبر Vercel، فإن السؤال الفوري ليس فقط ما الذي خسرته Vercel، بل ما الذي قد أتاحه ذلك الوصول في أماكن أخرى.
والدرس الأوسع هو أن أمن السحابة الحديث يعتمد بشكل متزايد على إدارة الاعتماديات، لا على الدفاع المحيطي فقط. فقد تُحكم الشركات أنظمتها الخاصة ومع ذلك ترث المخاطر من التطبيقات التي يربطها موظفوها، ومن البائعين الذين تعتمد عليهم تلك التطبيقات، ومن بيانات الاعتماد التي تنتقل عبر تلك الروابط. وتعد هذه الحادثة تذكيرًا جديدًا بأن هجمات سلسلة توريد البرمجيات لم تعد مقتصرة على الحزم المسمومة أو التحديثات المخترقة. فـ OAuth وأتمتة سير العمل يمكن أن يخلقا مسارات خطيرة بالقدر نفسه.
تقول Vercel إنها ما تزال تحقق وتطلب إجابات من Context AI. وحتى تظهر مزيد من التفاصيل التقنية، يبقى أمام العملاء رد عملي: تدوير المفاتيح، ومراجعة التطبيقات المرتبطة، والتعامل مع عمليات التكامل المريحة باعتبارها جزءًا من سطح الهجوم لا طبقة إنتاجية غير ضارة.
هذه المقالة مبنية على تقرير TechCrunch. اقرأ المقال الأصلي.
Originally published on techcrunch.com
