एका supply chain कमकुवतपणाने एका core web platform ला धक्का दिला
Context AI सॉफ्टवेअरशी जोडलेल्या OAuth connection मार्फत एका employee account वर तडजोड करून हॅकर्सनी Vercel च्या internal systems मध्ये घुसून customer data मिळवले, असे Vercel म्हणते. कंपनीने उघड केले की attackers ने हा connection वापरून Vercel कर्मचाऱ्याचा Google-hosted corporate account ताब्यात घेतला आणि नंतर काही internal systems मध्ये प्रवेश केला जिथे काही credentials encryption शिवाय साठवलेली होती.
ही घटना फक्त एका vendor पुरती मर्यादित नाही. Vercel आधुनिक web infrastructure च्या गाभ्यात आहे, आणि त्याच्या hosted services, developer tooling, आणि deployment workflows अनेक software teams वापरतात. अशा स्थितीतील platform compromise झाल्यावर risk पहिल्या पीडितावर थांबत नाही. तो customer environments, shared credentials, आणि त्या systems वर अवलंबून असलेल्या software supply chains मधून पसरतो.
Vercel च्या मते काय प्रभावित झाले
कंपनीनुसार, customer app data आणि keys या उघड झालेल्या माहितीमध्ये होत्या. Vercel ने प्रभावित ग्राहकांशी संपर्क केला आहे, आणि CEO Guillermo Rauch यांनी users ना app deployments मधील non-sensitive म्हणून चिन्हांकित केलेल्या keys आणि credentials rotate करण्याचा सल्ला दिला. कंपनीने हेही सांगितले की या breach मुळे Next.js किंवा Turbopack, तिचे व्यापकपणे वापरले जाणारे open-source projects, प्रभावित झाले नाहीत.
रिपोर्टनुसार, हॅकर्सनी sensitive customer credentials चोरल्याचा दावा केला आहे आणि ती data online विक्रीसाठी ठेवली आहे. TechCrunch ने पाहिलेल्या एका threat actor listing मध्ये customer API keys, source code, आणि database information समाविष्ट असल्याचे म्हटले होते. त्या actor ने ShinyHunters group शी संबंध असल्याचा दावा केला, मात्र अहवालात उद्धृत केलेल्या दुसऱ्या outlet ला ShinyHunters ने सहभाग नाकारला.
OAuth समस्या हा मोठा इशारा आहे
आतापर्यंत जाहीर केलेल्या technical details एक परिचित पण अजूनही नीट न हाताळलेला risk दाखवतात: trusted integrations. Password थेट शेअर न करता services जोडण्यासाठी OAuth तयार करण्यात आले आहे, पण ते delegated access ची एक chain देखील तयार करते. त्या chain मधील एखादे app compromise झाले, तर blast radius business-critical systems पर्यंत पोहोचू शकतो, जे कधीच exposed होण्यासाठी नसतात.
Vercel ने सांगितले की breach Context AI मधून सुरू झाला, ज्याचे consumer Office Suite app users ना third-party applications across workflows automate करू देते. Context AI ने त्या app संबंधित March breach मान्य केला होता आणि त्या वेळी एका customer ला कळवले होते असेही सांगितले. Vercel च्या disclosure नंतर हा प्रसंग सुरुवातीला समजल्यापेक्षा अधिक व्यापक दिसतो.
ही साखळीच हा प्रसंग उल्लेखनीय बनवते. याचे वर्णन Vercel च्या flagship products वर थेट झालेल्या break-in म्हणून केलेले नाही. त्याऐवजी, हे एका employee ने connected app वापरल्याने सुरू झाले, नंतर account hijacking द्वारे internal access पर्यंत वाढले आणि secrets उघड झाले, असे दिसते. SaaS ecosystems अधिक गुंतागुंतीने एकमेकांशी जोडले जात असताना security teams ज्या indirect path बद्दल चिंतित असतात, नेमका तसाच हा प्रकार आहे.
फॉलआउट पुढेही जाऊ शकतो का
Vercel ने इशारा दिला की हा प्रसंग फक्त त्यांच्या environment पुरता नसून अनेक organizations मधील शेकडो users वर परिणाम करू शकतो. ही भाषा downstream compromise बद्दल चिंता दर्शवते, जिथे exposed keys किंवा app data customer systems मध्ये प्रवेशाचे बिंदू बनू शकतात. Vercel द्वारे production apps deploy करणाऱ्या कंपन्यांसाठी तातडीचा प्रश्न फक्त Vercel ने काय गमावले हा नाही, तर त्या access ने आणखी काय सक्षम केले असेल हेदेखील आहे.
मोठा धडा असा की आधुनिक cloud security increasingly dependency management बद्दल आहे, फक्त perimeter defense बद्दल नाही. कंपन्या स्वतःची systems harden करू शकतात, तरीही त्यांच्या कर्मचाऱ्यांनी जोडलेल्या apps, त्या apps वर अवलंबून असलेले vendors, आणि त्या links मधून फिरणारी credentials यांमधून risk वारशाने मिळू शकतो. हे breach आठवण करून देते की software supply chain attacks आता केवळ poisoned packages किंवा compromised updates इतक्यापुरते मर्यादित नाहीत. OAuth आणि workflow automation देखील तितक्याच धोकादायक वाटा तयार करू शकतात.
Vercel म्हणते की ते अजूनही तपास करत आहे आणि Context AI कडून उत्तर शोधत आहे. अधिक technical details समोर येईपर्यंत, customers साठी व्यावहारिक प्रतिसाद असा आहे: keys rotate करा, linked applications तपासा, आणि convenience integrations कडे निरुपद्रवी productivity layer म्हणून न पाहता attack surface चा भाग म्हणून पाहा.
हा लेख TechCrunch च्या रिपोर्टिंगवर आधारित आहे. मूळ लेख वाचा.
Originally published on techcrunch.com
