Vercel เผยเกิดการเจาะระบบภายใน
(decipher.sc)- เกิดเหตุด้านความปลอดภัยที่ยืนยันได้ว่ามีการเข้าถึงระบบภายในโดยไม่ได้รับอนุญาต และขอบเขตผลกระทบยังจำกัดอยู่ที่ลูกค้าบางส่วนเท่านั้น
- บริษัทได้ให้ incident response ผู้เชี่ยวชาญ เข้ามาตรวจสอบสาเหตุของการเจาะระบบ และกำลังดำเนินขั้นตอนกู้คืนควบคู่ไปกับการติดต่อกับลูกค้าที่ได้รับผลกระทบโดยตรง
- เหตุการณ์ครั้งนี้เชื่อมโยงกับการถูกเจาะของแอป third-party โดยต้นตอที่ถูกระบุคือ การเจาะ Google Workspace OAuth app ของ third-party AI tool
- มีการแนะนำให้ลูกค้าตรวจสอบ activity logs และ เปลี่ยน environmental variables รวมถึงแนะนำให้ใช้ฟีเจอร์ sensitive environment variables ที่เก็บข้อมูลอย่าง API keys ในรูปแบบที่ไม่สามารถอ่านได้
- ยังไม่มีการเปิดเผยประเภทของระบบที่ถูกเจาะและจำนวนลูกค้าที่ได้รับผลกระทบ โดยตัวระบุที่เกี่ยวข้องถูกรวมไว้ใน IOC และได้แจ้งหน่วยงานบังคับใช้กฎหมายแล้ว
ภาพรวมของเหตุการเจาะระบบ
- เกิดเหตุด้านความปลอดภัยที่ยืนยันได้ว่ามีการเข้าถึงระบบภายในของ Vercelโดยไม่ได้รับอนุญาต
- ตามถ้อยแถลงของบริษัท มีการเข้าถึงระบบภายในบางส่วนของ Vercel โดยไม่ได้รับอนุญาต
- ขณะนี้ยังอยู่ระหว่างการสอบสวน และดำเนินมาตรการตอบสนองกับกู้คืนไปพร้อมกัน
- ขอบเขตผลกระทบได้รับการยืนยันว่าอยู่ในวงจำกัดที่ลูกค้าบางส่วนเท่านั้น
- บริษัทกำลังติดต่อกับลูกค้าที่ได้รับผลกระทบโดยตรง
- ไม่มีการระบุจำนวนลูกค้าทั้งหมดหรือขนาดของผลกระทบอย่างเป็นรูปธรรม
- บริษัทรับทราบเหตุการณ์นี้เมื่อวันอาทิตย์ และรายละเอียดยังมีอย่างจำกัด
- ยังไม่มีการระบุอย่างชัดเจนว่าระบบใดถูกเจาะ
การสอบสวนและมาตรการตอบสนอง
- มีการนำ incident response ผู้เชี่ยวชาญ เข้ามาตรวจสอบสาเหตุของการเจาะและดำเนินงานกู้คืน
- มีการเรียก external incident response provider เข้ามาร่วมสอบสวน
- บริษัทระบุว่าจะอัปเดตหน้าที่เกี่ยวข้องเมื่อการสอบสวนมีความคืบหน้า
- ได้มีการแจ้งหน่วยงานบังคับใช้กฎหมายแล้ว
- มีการยืนยันเพียงว่าได้แจ้งหน่วยงานสืบสวน
- ไม่มีรายละเอียดเพิ่มเติมเกี่ยวกับขั้นตอนถัดไปหรือชื่อหน่วยงาน
- มีการแนะนำให้ลูกค้าตรวจสอบactivity logsและเปลี่ยน environment variablesเพื่อเป็นมาตรการป้องกัน
- แนะนำให้ตรวจสอบในล็อกว่ามีกิจกรรมที่น่าสงสัยหรือไม่
- แนะนำให้หมุนเวียน environmental variables เพื่อความปลอดภัยเชิงป้องกัน
สาเหตุของการเจาะระบบ
- การเจาะครั้งนี้ถูกจัดเป็นเหตุการณ์ที่เกี่ยวข้องกับการถูกเจาะของแอป third-party
- Vercel ระบุว่าการบุกรุกเกี่ยวข้องกับ third-party app compromise
- ต้นตอคือการเจาะ Google Workspace OAuth app ของ third-party AI tool
- ผลการสอบสวนระบุว่า OAuth app ดังกล่าวเป็นส่วนหนึ่งของการถูกเจาะในวงกว้างกว่าเดิม
- มีการกล่าวถึงความเป็นไปได้ที่ผู้ใช้หลายร้อยรายในหลายองค์กรอาจได้รับผลกระทบ
- แม้จะไม่ได้เปิดเผยชื่อแอปดังกล่าว แต่ได้รวมตัวระบุไว้ใน IOC
- ไม่มีการระบุชื่อแอปโดยตรง
- มีการให้ข้อมูลระบุตัวตนเพียงบางส่วน
คำแนะนำสำหรับลูกค้า
- ควรตรวจสอบว่ามีกิจกรรมที่น่าสงสัยหรือไม่ใน activity logs
- เป็นมาตรการที่บริษัทแนะนำให้ลูกค้าดำเนินการตรวจสอบโดยตรง
- แนะนำให้เปลี่ยน environmental variablesเพื่อเป็นมาตรการป้องกัน
- เป็นคำแนะนำเชิงป้องกันโดยไม่ขึ้นกับว่าลูกค้าได้รับผลกระทบหรือไม่
- แนะนำให้ใช้ฟีเจอร์ sensitive environment variables
- สามารถทำเครื่องหมายข้อมูลอย่าง API keys ให้เป็นข้อมูล sensitive ได้
- เมื่อทำเช่นนั้น Vercel จะจัดเก็บค่าเหล่านั้นในรูปแบบที่ไม่สามารถอ่านได้
สิ่งที่ยังไม่เปิดเผย
- ยังไม่มีการเปิดเผยอย่างชัดเจนถึงประเภทของระบบที่ถูกเจาะ
- มีเพียงคำอธิบายว่าเป็น internal systems
- ไม่มีรายละเอียดเพิ่มเติมเกี่ยวกับขอบเขตผลกระทบแยกตามบริการหรือผลิตภัณฑ์
- จำนวนลูกค้าที่ได้รับผลกระทบก็ยังไม่ถูกเปิดเผย
- ยืนยันเพียงว่าเป็น limited subset of customers
- เนื่องจากเป็นเหตุการณ์ที่เริ่มต้นจากแอป third-party จึงมีการกล่าวถึงความเป็นไปได้ของเหตุที่เกี่ยวเนื่องเพิ่มเติม
- มีการคาดการณ์ว่าอาจมีเหตุที่เกี่ยวข้องเพิ่มเติมในอีกไม่กี่ชั่วโมงหรือไม่กี่วันข้างหน้า
- อย่างไรก็ตาม ไม่มีการยกตัวอย่างกรณีเพิ่มเติมที่ยืนยันแล้วในเนื้อหา
บริบทเกี่ยวกับ Vercel
- Vercel ให้บริการ cloud platform ที่ถูกใช้อย่างแพร่หลายสำหรับการพัฒนาและดีพลอยแอป
- ให้บริการหลากหลายสำหรับนักพัฒนาและองค์กร
- ยังมีข้อเสนอหลายอย่างที่มุ่งเน้นไปที่ agentic AI workloads
- ในบทความนี้ไม่มีการอธิบายรายละเอียดของผลิตภัณฑ์หรือความเชื่อมโยงโดยตรงกับเหตุการณ์เพิ่มเติม
ยังไม่มีความคิดเห็น