Vercel ஊடுருவல் OAuth இணைந்த விநியோக சங்கிலி சம்பவத்தில் வாடிக்கையாளர் தரவை வெளிப்படுத்தியது

ஒரு விநியோக சங்கிலி பலவீனம் ஒரு முக்கிய வலைத் தளத்தை தாக்கியது

Context AI-யின் மென்பொருளுடன் இணைக்கப்பட்ட OAuth இணைப்பின் மூலம் ஒரு ஊழியர் கணக்கு பாதிக்கப்பட்டதற்குப் பிறகு, ஹேக்கர்கள் அதன் உள்துறை அமைப்புகளுக்குள் நுழைந்து வாடிக்கையாளர் தரவை அணுகியதாக Vercel கூறுகிறது. அந்த இணைப்பைப் பயன்படுத்தி ஒரு Vercel ஊழியரின் Google-hosted நிறுவன கணக்கை கைப்பற்றிய தாக்குதலாளர்கள், பின்னர் சில சான்றுகள் குறியாக்கமின்றி சேமிக்கப்பட்டிருந்த சில உள்துறை அமைப்புகளுக்குள் நகர்ந்ததாக நிறுவனம் தெரிவித்தது.

இந்த சம்பவம் ஒரே ஒரு விற்பனையாளரைக் கடந்தும் முக்கியத்துவம் உடையது. Vercel நவீன இணைய அடிப்படையிலான உள்கட்டமைப்பில் ஆழமாக இருக்கிறது; அதன் hosted services, developer tooling, deployment workflows ஆகியவை ஏராளமான மென்பொருள் அணிகளால் பயன்படுத்தப்படுகின்றன. அந்த நிலையில் இருக்கும் ஒரு தளம் பாதிக்கப்படும்போது, ஆபத்து முதல் பாதிக்கப்பட்டவருடன் முடிவதில்லை. அது வாடிக்கையாளர் சூழல்கள், பகிரப்பட்ட சான்றுகள், மற்றும் அந்த அமைப்புகளின் மீது சார்ந்திருக்கும் மென்பொருள் விநியோக சங்கிலிகள் வழியாக பரவுகிறது.

Vercel கூறுவதன்படி என்ன பாதிக்கப்பட்டது

நிறுவனத்தின் கூற்றுப்படி, வாடிக்கையாளர் app data மற்றும் keys ஆகியவை வெளிப்பட்ட தகவல்களில் அடங்கும். Vercel பாதிக்கப்பட்ட வாடிக்கையாளர்களை தொடர்புகொண்டுள்ளது, மேலும் CEO Guillermo Rauch, non-sensitive என குறிக்கப்பட்டுள்ள app deployments-இல் உள்ள எந்த keys மற்றும் credentials-யும் rotate செய்யுமாறு பயனர்களுக்கு அறிவுறுத்தினார். இந்த breach Next.js அல்லது Turbopack, அதன் பரவலாக பயன்படுத்தப்படும் open-source projects, ஆகியவற்றை பாதிக்கவில்லை என்றும் நிறுவனம் கூறியது.

ஹேக்கர்கள், தாம் sensitive வாடிக்கையாளர் credentials-ஐ திருடியதாகவும், அந்த தரவை ஆன்லைனில் விற்பனைக்கு வைத்துள்ளதாகவும் கூறியுள்ளனர். TechCrunch பார்த்த ஒரு threat actor listing-இல் customer API keys, source code, மற்றும் database information ஆகியவை தரவில் இருந்ததாக குறிப்பிடப்பட்டது. அந்த actor ShinyHunters குழுவுடன் தொடர்பு இருப்பதாகக் கூறினார்; ஆனால் அறிக்கையில் மேற்கோள் காட்டப்பட்ட மற்றொரு outlet-க்கு ShinyHunters இதில் ஈடுபாடு இல்லை என்று மறுத்தது.

OAuth பிரச்சினையே பெரிய எச்சரிக்கை

இதுவரை வெளியிடப்பட்ட தொழில்நுட்ப விவரங்கள், பரிச்சயமான ஆனால் இன்னும் மோசமாக நிர்வகிக்கப்படும் ஒரு ஆபத்தைக் காட்டுகின்றன: trusted integrations. கடவுச்சொற்களை நேரடியாகப் பகிராமல் சேவைகளை இணைக்க OAuth வடிவமைக்கப்பட்டுள்ளது, ஆனால் அது delegated access என்ற ஒரு சங்கிலியையும் உருவாக்குகிறது. அந்த சங்கிலியில் உள்ள ஒரு app பாதிக்கப்பட்டால், தாக்கத்தின் பரப்பு business-critical அமைப்புகளுக்குள் நீளலாம்; அவை வெளிப்பட வேண்டும் என்பதே நோக்கம் அல்ல.

இந்த breach Context AI-யில் தொடங்கியதாக Vercel கூறுகிறது; அதன் consumer Office Suite app மூன்றாம் தரப்பு applications across workflows automate செய்ய பயனர்களை அனுமதிக்கிறது. Context AI அந்த app-ஐ உள்ளடக்கிய மார்ச் மாத breach-ஐ ஒப்புக்கொண்டு, அப்போது ஒரு வாடிக்கையாளருக்கு அறிவித்ததாக கூறியது. Vercel-இன் வெளிப்படுத்தலைப் பார்க்கும்போது, இந்த சம்பவம் ஆரம்பத்தில் புரிந்ததைவிட அதிக பரப்பு கொண்டதாகத் தெரிகிறது.

அந்த வரிசைதான் இந்த சம்பவத்தை குறிப்பிடத்தக்கதாக மாற்றுகிறது. இது Vercel-இன் முன்னணி தயாரிப்புகளுக்கு நேரடியாக உடைந்த நுழைவாக விவரிக்கப்படவில்லை. அதற்கு பதிலாக, ஒரு ஊழியர் இணைக்கப்பட்ட app-ஐ பயன்படுத்தியதிலிருந்து தொடங்கி, பின்னர் account hijacking மூலம் உள்துறை அணுகலுக்கு உயர்ந்து secrets வெளிப்படுத்தப்பட்டதாகத் தெரிகிறது. SaaS ecosystems மேலும் ஒன்றோடொன்று சிக்கலாக இணைந்துவரும் நிலையில் security teams கவலைப்படுவது இப்படிப்பட்ட மறைமுக வழித்தடங்களையே.

பரவல் மேலும் செல்லக்கூடும் காரணம்

இந்த சம்பவம் தனது சொந்த environment மட்டுமல்லாமல் பல அமைப்புகளில் உள்ள நூற்றுக்கணக்கான பயனர்களையும் பாதிக்கக்கூடும் என்று Vercel எச்சரித்தது. அந்த மொழி downstream compromise பற்றிய கவலையை சுட்டுகிறது; வெளிப்பட்ட keys அல்லது app data வாடிக்கையாளர் அமைப்புகளுக்குள் நுழைவுப் புள்ளிகளாக மாறக்கூடும். Vercel வழியாக production apps deploy செய்யும் நிறுவனங்களுக்கு உடனடி கேள்வி Vercel என்ன இழந்தது என்பதல்ல மட்டும்; அந்த அணுகல் வேறு எதை இயக்கியிருக்கலாம் என்பதும்கூட.

பெரிய பாடம் என்னவெனில், நவீன cloud security என்பது perimeter defense மட்டும் அல்ல, dependency management பற்றியதும்கூட. நிறுவனங்கள் தங்கள் அமைப்புகளை harden செய்யலாம்; இருப்பினும் ஊழியர்கள் connect செய்யும் apps, அந்த apps சார்ந்த vendors, மற்றும் அவை இடையே நகரும் credentials ஆகியவற்றிலிருந்து ஆபத்தை மரபாகப் பெற முடியும். மென்பொருள் விநியோக சங்கிலி தாக்குதல்கள் இப்போது poisoned packages அல்லது compromised updates-க்கு மட்டுப்படவில்லை என்பதற்கான சமீபத்திய நினைவூட்டலிது. OAuth மற்றும் workflow automation கூட அதே அளவுக்கு ஆபத்தான பாதைகளை உருவாக்க முடியும்.

Vercel இன்னும் விசாரணை செய்து கொண்டிருப்பதாகவும் Context AI-யிடமிருந்து பதில்களை நாடி வருவதாகவும் கூறுகிறது. மேலும் தொழில்நுட்ப விவரங்கள் வெளிவரும் வரை, வாடிக்கையாளர்களுக்கு நடைமுறை நடவடிக்கையே உள்ளது: keys-ஐ rotate செய்யுங்கள், linked applications-ஐ மதிப்பாய்வு செய்யுங்கள், மற்றும் convenience integrations-ஐ harmless productivity layer என்று அல்லாமல் attack surface-இன் ஒரு பகுதியாகக் கருதுங்கள்.

இந்தக் கட்டுரை TechCrunch செய்தித் தொகுப்பை அடிப்படையாகக் கொண்டது. மூலக் கட்டுரையைப் படிக்கவும்.