Le PDG de Vercel, Guillermo Rauch, a révélé sur la plateforme X l’avancement de l’enquête, confirmant que la plateforme d’IA tierce Context.ai utilisée par les employés de Vercel a été compromise. Les attaquants ont obtenu les identifiants des comptes des employés via l’intégration OAuth de Google Workspace de la plateforme, puis ont accédé davantage à certains environnements internes de Vercel ainsi qu’à des variables d’environnement non marquées comme « sensibles ».
Chaîne d’attaque : de l’intrusion via l’OAuth d’outils d’IA à la pénétration progressive de l’environnement de Vercel
D’après l’enquête de Vercel, le chemin d’attaque se compose de trois étapes progressives. Tout d’abord, l’application OAuth Google Workspace de Context.ai a été compromise lors d’une attaque par chaîne d’approvisionnement plus large, susceptible d’avoir touché des centaines d’utilisateurs dans plusieurs organisations. Ensuite, en exploitant l’intrusion de Context.ai, les attaquants ont pris le contrôle des comptes Google Workspace des employés de Vercel, et les ont utilisés pour accéder aux systèmes internes de Vercel à l’aide de leurs identifiants. Enfin, par un procédé d’énumération, les attaquants ont obtenu des droits d’accès supplémentaires en exploitant des variables d’environnement non marquées comme « sensibles ».
Rauch a indiqué dans son annonce que la vitesse d’action des attaquants est « stupéfiante », et que leur compréhension des systèmes de Vercel est « très approfondie », évaluant qu’il est très probable qu’ils aient considérablement amélioré l’efficacité de l’attaque grâce à des outils d’IA.
La frontière de sécurité entre les variables d’environnement « sensibles » et « non sensibles »
Cet incident révèle des détails clés sur les mécanismes de sécurité des variables d’environnement de l’environnement Vercel : les variables d’environnement marquées comme « sensibles » sont stockées de manière à empêcher leur lecture ; à ce stade, l’enquête n’a pas découvert que ces valeurs aient été consultées. Les variables d’environnement utilisées par l’attaquant ne sont pas marquées comme « sensibles » : par un procédé d’énumération, l’attaquant a réussi à en extraire des droits d’accès supplémentaires.
Vercel a ajouté une page d’aperçu des variables d’environnement et une interface de gestion améliorée des variables d’environnement sensibles, afin d’aider les clients à identifier et protéger plus clairement les valeurs de configuration à haut risque.
Réponse d’urgence de Vercel et liste officielle des actions recommandées
Vercel a retenu les services de Google Mandiant, d’autres entreprises de cybersécurité, et a également notifié les services d’application de la loi afin qu’ils interviennent. Next.js, Turbopack et les projets open source de Vercel ont tous été confirmés sûrs par une analyse de la chaîne d’approvisionnement ; à l’heure actuelle, le service de la plateforme fonctionne normalement.
Actions de sécurité recommandées pour les clients (officiel)
Vérifier les journaux d’activité : examiner les journaux d’activité du compte et de l’environnement pour identifier toute activité suspecte
Roter les variables d’environnement : toute variable d’environnement non marquée comme sensible qui contient des informations confidentielles (clés API, jetons, identifiants de base de données, clés de signature) doit être considérée comme potentiellement divulguée et prioritaire pour être renouvelée
Activer la fonctionnalité des variables d’environnement sensibles : s’assurer que toutes les valeurs de configuration confidentielles sont correctement marquées comme « sensibles »
Examiner les déploiements récents : enquêter sur les déploiements inhabituels et supprimer les versions suspectes
Configurer la protection des déploiements : s’assurer qu’elle est au moins réglée sur le niveau « standard » et faire tourner les jetons de protection des déploiements
Questions fréquentes
Qu’est-ce que Context.ai et comment est-il devenu le point d’entrée de cette attaque ?
Context.ai est un petit outil d’IA tiers qui utilise l’intégration Google Workspace OAuth, utilisé par les employés de Vercel pour leur travail quotidien. L’enquête indique que l’application OAuth de cet outil a été compromise lors d’une attaque par chaîne d’approvisionnement plus large, susceptible d’avoir touché des centaines d’utilisateurs dans plusieurs organisations ; les identifiants des comptes des employés de Vercel ont été récupérés par les attaquants au cours de ce processus.
Les variables d’environnement marquées « sensibles » sont-elles affectées ?
À ce stade, l’enquête n’a trouvé aucune preuve que des variables d’environnement marquées comme « sensibles » aient été consultées. Ces variables sont stockées selon une méthode spéciale visant à empêcher la lecture. Les attaquants ont exploité des variables d’environnement non marquées comme « sensibles » ; via un procédé d’énumération, ils ont réussi à en obtenir des droits d’accès supplémentaires.
Comment les clients Vercel peuvent-ils vérifier s’ils sont affectés ?
Si vous n’avez pas reçu de contact direct de Vercel, Vercel indique qu’il n’y a actuellement aucune raison de penser que les identifiants ou les informations personnelles des clients concernés aient été divulgués. Il est recommandé à tous les clients d’examiner activement les journaux d’activité, de faire tourner les variables d’environnement non marquées comme sensibles, et d’activer correctement la fonctionnalité des variables d’environnement sensibles. Pour une assistance technique, vous pouvez contacter Vercel via vercel.com/help.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Stockcoin.ai conclut une levée de fonds de démarrage menée par Amber Group
D’après l’annonce officielle, Stockcoin.ai, une plateforme propulsée par l’IA pour le trading de futures sur actions et crypto, a finalisé une levée de fonds de démarrage (seed) menée par Amber Group, avec la participation d’investisseurs providentiels issus de la crypto et de la finance traditionnelle. La plateforme se concentre sur le fait de relier les données en chaîne aux données de valeur mobilière et…
GateNewsIl y a 38m
Les utilisateurs actifs mensuels de Claude explosent de 658 % à 85,79 M en un an, les téléchargements bondissent de 2 321 %
D'après les données de Similarweb suivies par Beating, les indicateurs d'une année sur l'autre de l'application Claude App en avril ont montré une croissance significative : les utilisateurs mensuels actifs (MAU) sont passés de 11,31 million l'an dernier à 85,79 millions, soit une hausse de 658 % ; les téléchargements depuis l'app store ont bondi de 920 000 à 22,3 millions, soit une hausse de 2321 %.
GateNewsIl y a 56m
Le président d'OpenAI témoigne que Musk cherchait à obtenir un contrôle total et $800B pour une colonie sur Mars le 5 mai
D’après le témoignage du président d’OpenAI, Greg Brokeman, le 5 mai, lors de la deuxième semaine du procès en Californie, Elon Musk avait auparavant soutenu la transformation d’OpenAI en entreprise à but lucratif et exigé le contrôle total de l’organisation. Brokeman a déclaré que Musk avait évoqué la nécessité de lever 8 milliards de dollars pour
GateNewsIl y a 58m
Tessera Labs clôture une levée de fonds de série A menée par a16z ; une équipe d’IA composée de six personnes remplace 60 consultants SAP
D’après Beating, Tessera Labs, une société d’intégration de systèmes d’IA, a finalisé une levée de fonds de Série A menée par a16z. Le nouveau venu, fondé en 2024, utilise une plateforme multi-agents pour automatiser les migrations de SAP ECC vers S/4HANA, traditionnellement nécessaires entre 3 et 5 ans et entre 100 millions de dollars et 500 millions de dollars par
GateNewsIl y a 1h
Solana construit des rails de paiement pour l’économie des machines d’IA, déclare le président de la fondation Liu à Consensus 2026
Lors de Consensus Miami 2026, la présidente de la Solana Foundation, Lily Liu, a affirmé que l’adoption des stablecoins par des entreprises comme Western Union confirme le rôle de Solana comme infrastructure financière pour les économies humaines comme pour les économies de machines.
GateNewsIl y a 1h
Le Taiex se maintient au-dessus de 40 000 points, Wall Street atteint un nouveau sommet, mais le secteur de l’IA ne fait-il que commencer à entrer dans une phase initiale ?
Goldman Sachs indique que la demande liée à l’IA augmentera fortement la consommation de tokens grâce à des charges de travail liées aux agents de type « consumer », avec une croissance potentielle de plus de 12 fois d’ici 2030, et des calculs mensuels de tokens pouvant atteindre 60 billions ; la différence entre l’agent non « agent » et le « consumer agent » réside dans l’automatisation de tâches sur des périodes plus longues. Si cela se concrétise, l’IA entrera dans des flux de travail « agentic ». Larry Fink déclare que l’offre de puissance de calcul est fortement insuffisante ; à l’avenir, des contrats à terme sur la puissance de calcul pourraient apparaître, et les deux ensemble soutiendraient la thèse haussière sur les infrastructures de base de l’IA ; l’article estime que l’IA se trouve encore à un stade précoce.
ChainNewsAbmediaIl y a 1h
