Le géant de l’hébergement d’applications cloud Vercel a déclaré ce week-end que des pirates informatiques avaient violé ses systèmes internes et accédé aux données des clients. Les pirates ont affirmé avoir volé les informations d’identification sensibles des clients dans les systèmes de Vercel et vendre les données en ligne.
Dans un communiqué publié dimanche, Vercel a déclaré que la violation provenait d’un autre éditeur de logiciels, Context AI. L’un des employés de Vercel a téléchargé une application créée par Context AI et l’a connectée à son compte d’entreprise, hébergé par Google. Les pirates ont utilisé cette connexion (connue sous le nom d’OAuth) pour s’emparer du compte Google de l’employé de Vercel et accéder à certains systèmes internes de Vercel, y compris les informations d’identification qui n’étaient pas cryptées.
Vercel affirme que ses projets Next.js et Turbopack n’ont pas été affectés par la violation. Les deux projets open source sont largement utilisés par les développeurs Web et d’applications.
Vercel a déclaré avoir contacté des clients dont les données et les clés de l’application avaient été compromises.
Dans un article sur X, le directeur général de Vercel, Guillermo Rauch, a conseillé aux clients de alterner toutes les clés et informations d’identification dans leurs déploiements d’applications qui sont marquées comme « non sensibles ».
On ne sait pas clairement qui est à l’origine de la brèche chez Vercel ou Context AI, ni s’il s’agit du même pirate informatique. L’acteur malveillant vendant les données prétendait représenter le groupe de piratage ShinyHunters dans sa liste sur un forum cybercriminel. Le message, vu par TechCrunch, affirmait que les pirates vendaient l’accès aux clés API des clients, au code source et aux données de base de données volées à Vercel.
Le groupe de hackers ShinyHunters, connu pour avoir piraté des sociétés basées sur le cloud et des bases de données, a déclaré au site d’information sur la cybersécurité Bleeping Computer qu’il n’était pas impliqué dans cet incident.
Un porte-parole de Vercel n’a pas précisé combien de clients pourraient être concernés, mais a déclaré que l’entreprise n’avait reçu aucune communication de l’acteur menaçant, telle qu’une demande de rançon.
Même si les détails du piratage sont encore à venir, cette faille de sécurité est la dernière d’une série de piratages de la « chaîne d’approvisionnement » ces derniers mois qui ont ciblé les développeurs de logiciels dont le code est largement utilisé sur le Web. En compromettant les logiciels largement utilisés par les entreprises et prenant en charge l’infrastructure Web, les pirates peuvent voler les informations d’identification d’un large éventail de cibles à la fois et accéder davantage à de grandes quantités de données stockées par d’autres géants du cloud.
Vercel n’a pas dit grand-chose d’autre sur l’attaque, sauf qu’il enquêtait sur l’incident et avait demandé des réponses à Context AI. Vercel a déclaré que le piratage pourrait affecter « des centaines d’utilisateurs dans de nombreuses organisations », et pas seulement son propre système, mettant en garde contre de potentielles violations en aval dans l’ensemble de l’industrie technologique.
Context AI, qui construit des évaluations et des analyses pour les modèles d’IA, a confirmé sur son site Web avoir subi une violation en mars impliquant son application grand public Context AI Office Suite. L’application permet aux utilisateurs d’automatiser les actions et les flux de travail sur plusieurs applications tierces via un service tiers anonyme.
Context AI a déclaré avoir informé un client de la violation, mais sur la base de l’incident de Vercel, elle estime désormais que l’incident est probablement plus large qu’on ne le pensait initialement. Context AI a déclaré que les pirates « ont probablement compromis les jetons OAuth pour certains de nos utilisateurs grand public ».
Context AI n’a pas répondu à une demande de commentaires ou à des questions sur la violation. On ne sait pas pourquoi Context AI n’a pas divulgué la violation à ce moment-là, ni si l’entreprise a reçu des demandes du pirate informatique, comme une rançon.
Corrigé pour supprimer une référence à une IA de contexte sans rapport dont le personnel a été acquis par OpenAI. Mis à jour avec le commentaire de Vercel.
