एक सप्लाई चेन कमजोरी ने एक प्रमुख वेब प्लेटफॉर्म को प्रभावित किया
Vercel का कहना है कि हैकर्स ने उसके आंतरिक सिस्टम में सेंध लगाई और एक कर्मचारी खाते को Context AI के सॉफ़्टवेयर से जुड़े OAuth कनेक्शन के जरिए समझौता करके ग्राहक डेटा तक पहुंच बनाई। कंपनी ने बताया कि हमलावरों ने इस कनेक्शन का उपयोग करके एक Vercel कर्मचारी के Google-hosted कॉर्पोरेट खाते पर नियंत्रण हासिल किया, और फिर कुछ आंतरिक सिस्टमों में प्रवेश किया जहां कुछ क्रेडेंशियल्स बिना एन्क्रिप्शन के संग्रहीत थे।
यह घटना सिर्फ एक विक्रेता से कहीं आगे तक मायने रखती है। Vercel आधुनिक वेब इन्फ्रास्ट्रक्चर में गहराई से शामिल है, और उसकी होस्टेड सेवाएं, डेवलपर टूलिंग, और डिप्लॉयमेंट वर्कफ़्लो बड़ी संख्या में सॉफ़्टवेयर टीमों द्वारा उपयोग किए जाते हैं। जब ऐसी स्थिति वाले किसी प्लेटफॉर्म से समझौता होता है, तो जोखिम पहले पीड़ित तक ही सीमित नहीं रहता। यह ग्राहक वातावरण, साझा क्रेडेंशियल्स, और उन सिस्टमों पर निर्भर सॉफ़्टवेयर सप्लाई चेन में फैल जाता है।
Vercel के अनुसार क्या प्रभावित हुआ
कंपनी के अनुसार, ग्राहक ऐप डेटा और कुंजियाँ (keys) उन जानकारियों में शामिल थीं जो उजागर हुईं। Vercel ने प्रभावित ग्राहकों से संपर्क किया है, और CEO Guillermo Rauch ने उपयोगकर्ताओं को सलाह दी कि वे ऐप डिप्लॉयमेंट में मौजूद किसी भी ऐसी कुंजी और क्रेडेंशियल को घुमा दें जो गैर-संवेदनशील के रूप में चिह्नित हों। कंपनी ने यह भी कहा कि इस सेंध से Next.js या Turbopack, उसके व्यापक रूप से उपयोग किए जाने वाले ओपन-सोर्स प्रोजेक्ट्स, प्रभावित नहीं हुए।
रिपोर्टों के अनुसार, हैकर्स ने दावा किया है कि उन्होंने संवेदनशील ग्राहक क्रेडेंशियल्स चुराए हैं और वे डेटा को ऑनलाइन बेचने की पेशकश कर रहे हैं। TechCrunch द्वारा देखी गई एक थ्रेट-एक्टर लिस्टिंग में कहा गया कि डेटा में ग्राहक API keys, source code, और database जानकारी शामिल थी। उस अभिनेता ने ShinyHunters समूह से संबंध होने का दावा किया, हालांकि रिपोर्ट में उद्धृत एक अन्य आउटलेट से बात करते हुए ShinyHunters ने इसमें शामिल होने से इनकार किया।
OAuth समस्या सबसे बड़ा चेतावनी संकेत है
अब तक जारी किए गए तकनीकी विवरण एक परिचित लेकिन अभी भी खराब तरीके से प्रबंधित जोखिम की ओर इशारा करते हैं: भरोसेमंद इंटीग्रेशन। OAuth को इस तरह बनाया गया है कि उपयोगकर्ता पासवर्ड सीधे साझा किए बिना सेवाओं को जोड़ सकें, लेकिन यह प्रत्यायोजित पहुंच की एक श्रृंखला भी बनाता है। अगर उस श्रृंखला में एक ऐप समझौता हो जाता है, तो उसका प्रभाव-क्षेत्र उन व्यावसायिक-आवश्यक सिस्टमों तक फैल सकता है जिनके सामने उजागर होने की कल्पना भी नहीं की गई थी।
Vercel ने कहा कि सेंध Context AI से शुरू हुई, जिसका consumer Office Suite ऐप उपयोगकर्ताओं को third-party applications में workflows automate करने देता है। Context AI ने उस ऐप से जुड़ी मार्च की एक सेंध को स्वीकार किया है और कहा है कि उस समय उसने एक ग्राहक को सूचित किया था। Vercel के खुलासे को देखते हुए, अब यह घटना शुरू में समझी गई तुलना में अधिक व्यापक दिखाई देती है।
यही क्रम इस घटना को उल्लेखनीय बनाता है। इसे Vercel के प्रमुख उत्पादों के खिलाफ सीधे घुसपैठ के रूप में नहीं बताया गया था। इसके बजाय, ऐसा प्रतीत होता है कि यह एक कर्मचारी द्वारा जुड़े हुए ऐप के उपयोग से शुरू हुई, फिर account hijacking के जरिए आंतरिक पहुंच तक बढ़ी और secrets उजागर हुए। SaaS ecosystems के अधिक परस्पर जुड़ने के साथ सुरक्षा टीमें जिस तरह के अप्रत्यक्ष रास्तों को लेकर चिंतित रहती हैं, यह ठीक वैसा ही मामला है।
फैलाव और आगे जा सकता है
Vercel ने चेतावनी दी कि यह घटना उसके अपने environment के अलावा कई संगठनों में सैकड़ों उपयोगकर्ताओं को प्रभावित कर सकती है। यह भाषा downstream compromise की चिंता का संकेत देती है, जहां उजागर हुई keys या app data ग्राहक सिस्टमों में प्रवेश बिंदु बन सकते हैं। जो कंपनियाँ Vercel के माध्यम से production apps deploy करती हैं, उनके लिए तात्कालिक सवाल केवल यह नहीं है कि Vercel ने क्या खोया, बल्कि यह भी है कि उस पहुंच ने और क्या संभव बनाया होगा।
इसका व्यापक सबक यह है कि आधुनिक cloud security अब increasingly dependency management के बारे में है, केवल perimeter defense के बारे में नहीं। कंपनियाँ अपने सिस्टम harden कर सकती हैं और फिर भी उन apps से जोखिम विरासत में ले सकती हैं जिन्हें उनके कर्मचारी connect करते हैं, उन vendors से जिन पर वे apps निर्भर हैं, और उन credentials से जो इन कड़ियों के बीच चलते हैं। यह breach एक और reminder है कि software supply chain attacks अब सिर्फ poisoned packages या compromised updates तक सीमित नहीं हैं। OAuth और workflow automation उतने ही खतरनाक रास्ते बना सकते हैं।
Vercel का कहना है कि वह अभी भी जांच कर रहा है और Context AI से जवाब मांग रहा है। जब तक अधिक तकनीकी विवरण सामने नहीं आते, ग्राहकों के पास एक व्यावहारिक प्रतिक्रिया ही बचती है: keys rotate करें, linked applications की समीक्षा करें, और सुविधा-आधारित integrations को attack surface का हिस्सा मानें, न कि एक हानिरहित productivity layer।
यह लेख TechCrunch की रिपोर्टिंग पर आधारित है। मूल लेख पढ़ें.
Originally published on techcrunch.com
