Смена паролей, проверка логов и срочный аудит. Вот что нужно сделать прямо сейчас, если вы деплоите через Vercel

Апрель для американской компании Vercel закончился неприятным инцидентом, который быстро вышел за рамки внутренней проблемы. Злоумышленники получили несанкционированный доступ к части систем, а вместе с ним — к некоторым данным клиентов.

Vercel — американская облачная платформа для разработки и размещения веб-приложений. Сервисом часто пользуются команды, которые создают сайты и интерфейсы на Next.js и других JavaScript-фреймворках, а сама компания предоставляет инструменты для сборки, развёртывания и хранения конфигураций проектов.

Среди клиентов Vercel — как небольшие студии, так и крупные технологические компании, поэтому любой инцидент в инфраструктуре платформы быстро становится заметным для рынка. После атаки сервис продолжает работать, но эта утечка данных уже заставила многих пересмотреть отношение к хранению секретов и защите корпоративных аккаунтов.

Vercel заявила, что атака затронула ограниченный круг клиентов. Речь идёт о несекретных переменных окружения, которые хранились на платформе в виде, допускающем чтение после расшифровки. Компания уже связалась с затронутыми пользователями и посоветовала срочно сменить все связанные учётные данные.

По данным Vercel, отправной точкой стал взлом Context.ai — стороннего ИИ-инструмента, которым пользовался сотрудник компании. Используя доступ к сервису, атакующие перехватили учётную запись Google Workspace, принадлежавшую сотруднику Vercel, а затем проникли в часть корпоративных сред и получили доступ к переменным окружения, не помеченным как «чувствительные».

Компания отдельно подчёркивает, что переменные с меткой «sensitive» («чувствительные») хранятся так, что их нельзя прочитать в открытом виде. Признаков доступа к таким значениям пока нет. При этом расследование продолжается, и Vercel ещё проверяет, какие данные могли быть выгружены. Если появятся новые подтверждения компрометации, компания пообещала уведомить клиентов напрямую.

К расследованию уже подключили специалистов Mandiant, другие профильные команды и правоохранительные органы. В Vercel считают, что за атакой стоят хорошо подготовленные злоумышленники, которые быстро ориентировались во внутренней инфраструктуре компании.

На фоне инцидента Vercel выпустила набор рекомендаций. Компания советует в первую очередь сменить все переменные окружения, не отмеченные как «чувствительные», включая API-ключи, токены, данные для доступа к базам и ключи подписи.

Удаление проектов или учётной записи проблему не решает, поскольку скомпрометированные секреты могут и дальше открывать путь к рабочим системам. Дополнительно Vercel рекомендует включить двухфакторную аутентификацию, проверить журналы активности, просмотреть последние развёртывания и обновить токены Deployment Protection.

Отдельно компания опубликовала индикатор компрометации для более широкой проверки. Речь идёт об OAuth-приложении Google Workspace, которое, по версии Vercel, могло затронуть сотни пользователей в разных организациях в рамках более масштабной атаки через цепочку поставок — посредством взлома стороннего ИИ-сервиса.