Un pirate informatique a volé une quantité limitée de données client à Vercel Inc., un important fournisseur d'outils de développement.
L'entreprise a révélé l'incident dimanche soir.
Vercel, qui a reçu une valorisation de 9,3 milliards de dollars l'année dernière, fournit des outils qui aident les développeurs à créer des applications Web. Elle exploite également une infrastructure cloud qui peut être utilisée pour héberger ces applications. La suite de produits Vercel s'appuie sur Node.js, un framework de développement open source populaire.
La société a déclaré dans un bulletin de sécurité que la violation a commencé avec un produit externe appelé Context.ai. Il s'agit d'une plateforme cloud qui utilise l'intelligence artificielle pour automatiser les tâches commerciales. Il peut notamment être intégré à des services tiers tels que Google Workspace. Selon le bulletin de sécurité, un pirate informatique a compromis Context.ai et l'a utilisé pour se connecter au compte Google Workspace d'un employé de Vercel.
Le compte compromis a permis à l'acteur malveillant d'accéder aux variables d'environnement de certains clients. Dans les déploiements Vercel, une variable d'environnement est une structure de données qui contient une seule information. Cet extrait de données peut être un secrète comme un mot de passe de base de données ou une clé de cryptage.
Vercel permet aux clients de sécuriser les secrets à l'aide d'une fonctionnalité appelée variables d'environnement sensibles. Selon l’entreprise, la violation n’a compromis que les points de données pour lesquels la fonctionnalité n’était pas activée. Le fait que les clients concernés aient choisi de ne pas utiliser cette fonctionnalité peut suggérer que les données compromises n'étaient pas particulièrement importantes, ce qui peut contribuer à limiter l'impact de la violation. Cependant, il est également possible que certains utilisateurs concernés aient simplement oublié de l'activer.
Vercel estime que le nombre de clients concernés par la violation est « assez limité ». Cependant, la société a noté que d'autres utilisateurs de Context.ai pourraient également être affectés.
« Hudson Rock dispose de preuves reliant la violation de Context AI à un logiciel malveillant voleur d'informations, identifiant un point d'entrée probable pour le patient zéro », a déclaré Aaron Walton, analyste principal des renseignements sur les menaces chez Expel Inc., une société de cybersécurité financée par du capital-risque.
Le trésor de données volé à Vercel aurait comprenait des informations sur des centaines d’employés. Les pirates ont également eu accès à un certain nombre de clés d’interface de programmation d’applications, qui jouent un rôle similaire à celui des mots de passe. Certaines de ces clés API seraient associées aux référentiels GitHub.
Les employés de Vercel aident à maintenir le référentiel GitHub pour Node.js, le framework de développement populaire qui alimente le portefeuille de produits de l'entreprise. Le fabricant de logiciels gère également d'autres projets open source. L’accès à des projets open source peut permettre aux pirates de lancer des attaques sur la chaîne d’approvisionnement, susceptibles de compromettre un grand nombre de développeurs.
Dans un poste sur X, le PDG de Vercel, Guillermo Rauch, a rassuré les utilisateurs : « nous avons analysé notre chaîne d'approvisionnement, garantissant que Next.js, Turbopack et nos nombreux projets open source restent sûrs pour notre communauté ». Il a ajouté que la société avait embauché l'entreprise de services de cybersécurité Mandiant de Google LLC pour l'aider à enquêter sur l'incident.
Vercel conseille aux clients de remplacer leurs variables d'environnement non sensibles. De plus, la société recommande aux administrateurs d’examiner les journaux d’activité à la recherche de signes potentiels d’activité malveillante. Dans le cadre de sa réponse à la violation, Vercel a déployé un tableau de bord qui permettra aux clients de gérer et de surveiller plus facilement les variables d'environnement.
