Le PDG de Vercel, Guillermo Rauch, a révélé sur la plateforme X l’avancement de l’enquête, confirmant que la plateforme d’IA tierce Context.ai utilisée par les employés de Vercel a été compromise. Les attaquants ont obtenu les identifiants des comptes des employés via l’intégration OAuth de Google Workspace de la plateforme, puis ont accédé davantage à certains environnements internes de Vercel ainsi qu’à des variables d’environnement non marquées comme « sensibles ».
Chaîne d’attaque : de l’intrusion via l’OAuth d’outils d’IA à la pénétration progressive de l’environnement de Vercel
D’après l’enquête de Vercel, le chemin d’attaque se compose de trois étapes progressives. Tout d’abord, l’application OAuth Google Workspace de Context.ai a été compromise lors d’une attaque par chaîne d’approvisionnement plus large, susceptible d’avoir touché des centaines d’utilisateurs dans plusieurs organisations. Ensuite, en exploitant l’intrusion de Context.ai, les attaquants ont pris le contrôle des comptes Google Workspace des employés de Vercel, et les ont utilisés pour accéder aux systèmes internes de Vercel à l’aide de leurs identifiants. Enfin, par un procédé d’énumération, les attaquants ont obtenu des droits d’accès supplémentaires en exploitant des variables d’environnement non marquées comme « sensibles ».
Rauch a indiqué dans son annonce que la vitesse d’action des attaquants est « stupéfiante », et que leur compréhension des systèmes de Vercel est « très approfondie », évaluant qu’il est très probable qu’ils aient considérablement amélioré l’efficacité de l’attaque grâce à des outils d’IA.
La frontière de sécurité entre les variables d’environnement « sensibles » et « non sensibles »
Cet incident révèle des détails clés sur les mécanismes de sécurité des variables d’environnement de l’environnement Vercel : les variables d’environnement marquées comme « sensibles » sont stockées de manière à empêcher leur lecture ; à ce stade, l’enquête n’a pas découvert que ces valeurs aient été consultées. Les variables d’environnement utilisées par l’attaquant ne sont pas marquées comme « sensibles » : par un procédé d’énumération, l’attaquant a réussi à en extraire des droits d’accès supplémentaires.
Vercel a ajouté une page d’aperçu des variables d’environnement et une interface de gestion améliorée des variables d’environnement sensibles, afin d’aider les clients à identifier et protéger plus clairement les valeurs de configuration à haut risque.
Réponse d’urgence de Vercel et liste officielle des actions recommandées
Vercel a retenu les services de Google Mandiant, d’autres entreprises de cybersécurité, et a également notifié les services d’application de la loi afin qu’ils interviennent. Next.js, Turbopack et les projets open source de Vercel ont tous été confirmés sûrs par une analyse de la chaîne d’approvisionnement ; à l’heure actuelle, le service de la plateforme fonctionne normalement.
Actions de sécurité recommandées pour les clients (officiel)
Vérifier les journaux d’activité : examiner les journaux d’activité du compte et de l’environnement pour identifier toute activité suspecte
Roter les variables d’environnement : toute variable d’environnement non marquée comme sensible qui contient des informations confidentielles (clés API, jetons, identifiants de base de données, clés de signature) doit être considérée comme potentiellement divulguée et prioritaire pour être renouvelée
Activer la fonctionnalité des variables d’environnement sensibles : s’assurer que toutes les valeurs de configuration confidentielles sont correctement marquées comme « sensibles »
Examiner les déploiements récents : enquêter sur les déploiements inhabituels et supprimer les versions suspectes
Configurer la protection des déploiements : s’assurer qu’elle est au moins réglée sur le niveau « standard » et faire tourner les jetons de protection des déploiements
Questions fréquentes
Qu’est-ce que Context.ai et comment est-il devenu le point d’entrée de cette attaque ?
Context.ai est un petit outil d’IA tiers qui utilise l’intégration Google Workspace OAuth, utilisé par les employés de Vercel pour leur travail quotidien. L’enquête indique que l’application OAuth de cet outil a été compromise lors d’une attaque par chaîne d’approvisionnement plus large, susceptible d’avoir touché des centaines d’utilisateurs dans plusieurs organisations ; les identifiants des comptes des employés de Vercel ont été récupérés par les attaquants au cours de ce processus.
Les variables d’environnement marquées « sensibles » sont-elles affectées ?
À ce stade, l’enquête n’a trouvé aucune preuve que des variables d’environnement marquées comme « sensibles » aient été consultées. Ces variables sont stockées selon une méthode spéciale visant à empêcher la lecture. Les attaquants ont exploité des variables d’environnement non marquées comme « sensibles » ; via un procédé d’énumération, ils ont réussi à en obtenir des droits d’accès supplémentaires.
Comment les clients Vercel peuvent-ils vérifier s’ils sont affectés ?
Si vous n’avez pas reçu de contact direct de Vercel, Vercel indique qu’il n’y a actuellement aucune raison de penser que les identifiants ou les informations personnelles des clients concernés aient été divulgués. Il est recommandé à tous les clients d’examiner activement les journaux d’activité, de faire tourner les variables d’environnement non marquées comme sensibles, et d’activer correctement la fonctionnalité des variables d’environnement sensibles. Pour une assistance technique, vous pouvez contacter Vercel via vercel.com/help.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Le PDG d’Anthropic se rend à la Maison-Blanche pour briser la glace : échanges avec le chef de cabinet et Bezner autour de Mythos
Le Wall Street Journal rapporte que le PDG d’Anthropic, Amodei, a rencontré le 17/04 le gouvernement de la Maison-Blanche à huis clos, en se concentrant sur les limites de la sécurité nationale et sur un déploiement responsable de Mythos ; la Maison-Blanche affirme que la réunion a été constructive, tandis que le marché y voit un signe de dégel des relations. Le principal point de divergence est que l’armée veut que Claude soit autorisé pour tous les usages légaux, tandis qu’Anthropic insiste sur le fait que sa propre politique d’utilisation acceptable relève de son pouvoir discrétionnaire. Les deux parties ont déclaré vouloir poursuivre le dialogue, avant de reparler avant le lancement de Mythos en mai.
ChainNewsAbmediaIl y a 21m
Google Ironwood TPU : 10 fois les performances + quatre partenaires contre Nvidia
Selon un reportage approfondi de Bloomberg et une annonce officielle de Google, Google a officiellement élargi le 22 avril sa gamme de puces d’IA conçues en interne : l’Ironwood, dédié au calcul d’inférence (TPU de septième génération), est désormais disponible à grande échelle sur Google Cloud, et le groupe lance en parallèle des collaborations de conception de prochaine génération avec Broadcom, MediaTek, Marvell et Intel. L’objectif est de contester de front la position dominante de Nvidia sur le marché des capacités de calcul pour l’IA via des chaînes d’approvisionnement de puces sur mesure.
Ironwood : TPU de septième génération, première puce conçue spécifiquement pour l’inférence
Ironwood est le produit de septième génération de la gamme de TPU de Google, et la première puce dédiée à l’inférence dans le cadre de la stratégie « séparation entre entraînement et inférence ». Les spécifications révélées par Google : la performance de pointe par puce est de T
ChainNewsAbmediaIl y a 23m
DeepSeek discute d’un premier tour de financement externe, valorisation 20 milliards de dollars : nouveau sommet pour l’évaluation de l’IA en Chine
Selon un article de Bloomberg du 22 avril (y compris l’exclusivité de The Information), la startup chinoise d’IA DeepSeek est en discussions pour un premier tour de financement externe, avec une valorisation atteignant 20 milliards de dollars. C’est la première levée de fonds externe pour DeepSeek depuis sa création en 2023 ; auparavant, l’entreprise était entièrement financée en interne par le fonds spéculatif quantitatif High-Flyer Capital Management. Une valorisation de 20 milliards de dollars constitue également une étape marquante pour les startups chinoises d’IA, en étant pour la première fois dans la seconde moitié de la fourchette « valorisation de 100 milliards de dollars » de référence.
Montant du financement et utilisation des fonds
DeepSeek cherche au moins 300 millions de dollars pour son premier tour de financement ; la valorisation de 20 milliards de dollars double à nouveau par rapport à l’évaluation « supérieure à 10 milliards de dollars » divulguée pour la première fois plus tôt le 17 avril par The Information.
ChainNewsAbmediaIl y a 25m
Google lance des outils d’agents d’IA pour aider les entreprises à automatiser des tâches
Google dévoile des outils pour créer des agents d’IA afin d’automatiser des tâches, de suivre l’avancement et de gérer les flux de travail via des boîtes de réception d’agents dédiées, avec des mises à jour de Workspace et une vision d’agents d’IA qui transforment les routines quotidiennes des employés.
Résumé : Google a présenté des outils pour créer des agents d’IA destinés à l’automatisation des tâches, au suivi de leur progression et à la rationalisation des flux de travail, annonçant des mises à jour de Workspace et un futur où les agents d’IA transforment le travail quotidien.
GateNewsIl y a 37m
Google : 75 % du nouveau code chez Google généré par l’IA
Google indique que 75 % du nouveau code généré provient de l’IA et que plus de la moitié des investissements dans les calculs liés au machine learning visent des opérations métiers dans le cloud.
Résumé : Dans une mise à jour d’entreprise, Google affirme que l’IA génère désormais environ 75 % du nouveau code et que la majorité de ses investissements en calcul pour le machine learning sera orientée vers des opérations métiers basées sur le cloud.
GateNewsIl y a 1h
Google Cloud lance des puces TPU8T et TPU8I pour l’intelligence artificielle
Message de Gate News, 22 avril — Google Cloud a lancé de nouvelles puces TPU8T et TPU8I conçues pour des applications d’intelligence artificielle.
GateNewsIl y a 1h
