Message de Gate News, 20 avril — La plateforme de développement cloud Vercel a confirmé un incident de sécurité dimanche (19 avril), au cours duquel des pirates ont accédé aux systèmes internes, volant des données d'employés, des données clients et des identifiants sensibles. La brèche présente un risque important pour l'écosystème Web3, car de nombreux projets crypto utilisent Vercel pour héberger leurs interfaces front-end.

L'enquête de Vercel a révélé que la brèche provenait d'un outil d'IA tiers appelé Context.ai, utilisé par l'un de ses employés. L'application Google Workspace OpenAuth de l'outil a été compromise, permettant aux attaquants d'élargir l'accès aux systèmes de Vercel et potentiellement d'affecter des centaines d'utilisateurs dans plusieurs organisations. La plateforme a averti que des variables d'environnement non protégées utilisées par les déploiements pourraient être exposées et a recommandé aux utilisateurs de revoir et de modifier toutes les variables d'environnement non marquées comme sensibles.

Peu après l'annonce de Vercel, un utilisateur se présentant comme « ShinyHunters » a publié sur le marché du cybercrime Breachforums, affirmant avoir compromis Vercel et proposant de vendre des données volées — y compris des clés d'accès, du code source, des données de base de données et des clés API — pour $2 million. L'attaquant a également partagé des informations personnelles sur des employés de Vercel ainsi que des captures d'écran des tableaux de bord internes. Dans des messages Telegram distincts, l'attaquant a affirmé être en contact avec Vercel au sujet d'une demande de rançon de $2 million.

Le PDG de Vercel, Guillermo Rauch, a confirmé l'incident sur X, indiquant que l'entreprise avait fait appel à des experts en réponse aux incidents et avait notifié les forces de l'ordre. Vercel a déclaré qu'un nombre limité de clients était impacté et que ses services restent pleinement opérationnels.

Afficher la source

Avertissement : Les informations figurant sur cette page peuvent provenir de sources tierces et sont fournies à titre indicatif uniquement. Elles ne reflètent pas les points de vue ou opinions de Gate et ne constituent pas un conseil financier, d’investissement ou juridique. Le trading des actifs virtuels comporte des risques élevés. Veuillez ne pas vous fonder uniquement sur les informations de cette page pour prendre vos décisions. Pour en savoir plus, consultez l’avertissement.

Actualités associées

04-20 00:16

Orca réagit à un incident de sécurité chez Vercel : informations d’identification du frontend mises à jour, fonds on-chain non affectés

04-19 19:01

L’exploitation du pont de Kelp DAO entraîne $293M Mint, laissant Aave avec plus de $200M de créances douteuses

04-19 14:31

Curve Finance suspend l’infrastructure LayerZero à la suite d’un piratage de rsETH

04-19 00:16

Le pont inter-chaînes de Kelp DAO exploité, rsETH de 116 500 d’une valeur de $292M Stolen

04-18 08:16

Le DNS de eth.limo fait l’objet d’une attaque : Vitalik appelle les utilisateurs à suspendre l’accès et à passer à IPFS

Commentaire