Le PDG de Vercel, Guillermo Rauch, a révélé sur la plateforme X l’avancement de l’enquête, confirmant que la plateforme d’IA tierce Context.ai utilisée par les employés de Vercel a été compromise. Les attaquants ont obtenu les identifiants des comptes des employés via l’intégration OAuth de Google Workspace de la plateforme, puis ont accédé davantage à certains environnements internes de Vercel ainsi qu’à des variables d’environnement non marquées comme « sensibles ».
Chaîne d’attaque : de l’intrusion via l’OAuth d’outils d’IA à la pénétration progressive de l’environnement de Vercel
D’après l’enquête de Vercel, le chemin d’attaque se compose de trois étapes progressives. Tout d’abord, l’application OAuth Google Workspace de Context.ai a été compromise lors d’une attaque par chaîne d’approvisionnement plus large, susceptible d’avoir touché des centaines d’utilisateurs dans plusieurs organisations. Ensuite, en exploitant l’intrusion de Context.ai, les attaquants ont pris le contrôle des comptes Google Workspace des employés de Vercel, et les ont utilisés pour accéder aux systèmes internes de Vercel à l’aide de leurs identifiants. Enfin, par un procédé d’énumération, les attaquants ont obtenu des droits d’accès supplémentaires en exploitant des variables d’environnement non marquées comme « sensibles ».
Rauch a indiqué dans son annonce que la vitesse d’action des attaquants est « stupéfiante », et que leur compréhension des systèmes de Vercel est « très approfondie », évaluant qu’il est très probable qu’ils aient considérablement amélioré l’efficacité de l’attaque grâce à des outils d’IA.
La frontière de sécurité entre les variables d’environnement « sensibles » et « non sensibles »
Cet incident révèle des détails clés sur les mécanismes de sécurité des variables d’environnement de l’environnement Vercel : les variables d’environnement marquées comme « sensibles » sont stockées de manière à empêcher leur lecture ; à ce stade, l’enquête n’a pas découvert que ces valeurs aient été consultées. Les variables d’environnement utilisées par l’attaquant ne sont pas marquées comme « sensibles » : par un procédé d’énumération, l’attaquant a réussi à en extraire des droits d’accès supplémentaires.
Vercel a ajouté une page d’aperçu des variables d’environnement et une interface de gestion améliorée des variables d’environnement sensibles, afin d’aider les clients à identifier et protéger plus clairement les valeurs de configuration à haut risque.
Réponse d’urgence de Vercel et liste officielle des actions recommandées
Vercel a retenu les services de Google Mandiant, d’autres entreprises de cybersécurité, et a également notifié les services d’application de la loi afin qu’ils interviennent. Next.js, Turbopack et les projets open source de Vercel ont tous été confirmés sûrs par une analyse de la chaîne d’approvisionnement ; à l’heure actuelle, le service de la plateforme fonctionne normalement.
Actions de sécurité recommandées pour les clients (officiel)
Vérifier les journaux d’activité : examiner les journaux d’activité du compte et de l’environnement pour identifier toute activité suspecte
Roter les variables d’environnement : toute variable d’environnement non marquée comme sensible qui contient des informations confidentielles (clés API, jetons, identifiants de base de données, clés de signature) doit être considérée comme potentiellement divulguée et prioritaire pour être renouvelée
Activer la fonctionnalité des variables d’environnement sensibles : s’assurer que toutes les valeurs de configuration confidentielles sont correctement marquées comme « sensibles »
Examiner les déploiements récents : enquêter sur les déploiements inhabituels et supprimer les versions suspectes
Configurer la protection des déploiements : s’assurer qu’elle est au moins réglée sur le niveau « standard » et faire tourner les jetons de protection des déploiements
Questions fréquentes
Qu’est-ce que Context.ai et comment est-il devenu le point d’entrée de cette attaque ?
Context.ai est un petit outil d’IA tiers qui utilise l’intégration Google Workspace OAuth, utilisé par les employés de Vercel pour leur travail quotidien. L’enquête indique que l’application OAuth de cet outil a été compromise lors d’une attaque par chaîne d’approvisionnement plus large, susceptible d’avoir touché des centaines d’utilisateurs dans plusieurs organisations ; les identifiants des comptes des employés de Vercel ont été récupérés par les attaquants au cours de ce processus.
Les variables d’environnement marquées « sensibles » sont-elles affectées ?
À ce stade, l’enquête n’a trouvé aucune preuve que des variables d’environnement marquées comme « sensibles » aient été consultées. Ces variables sont stockées selon une méthode spéciale visant à empêcher la lecture. Les attaquants ont exploité des variables d’environnement non marquées comme « sensibles » ; via un procédé d’énumération, ils ont réussi à en obtenir des droits d’accès supplémentaires.
Comment les clients Vercel peuvent-ils vérifier s’ils sont affectés ?
Si vous n’avez pas reçu de contact direct de Vercel, Vercel indique qu’il n’y a actuellement aucune raison de penser que les identifiants ou les informations personnelles des clients concernés aient été divulgués. Il est recommandé à tous les clients d’examiner activement les journaux d’activité, de faire tourner les variables d’environnement non marquées comme sensibles, et d’activer correctement la fonctionnalité des variables d’environnement sensibles. Pour une assistance technique, vous pouvez contacter Vercel via vercel.com/help.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Morgan Stanley estime que l’IA agentique pourrait ajouter 32,5 M$ à $60B au marché des CPU d’ici 2030
Morgan Stanley prévoit une hausse de la demande en CPU d’ici 2030 portée par des systèmes d’IA autonomes, susceptible d’ajouter jusqu’à $60 milliards au marché des CPU. Ce basculement aura un impact sur les investissements dans les centres de données et sur les besoins en mémoire, au bénéfice des principaux fabricants de puces.
GateNewsIl y a 21m
Les agents IA transformeront le modèle de trading ; l’OS onchain construit une base d’infrastructure
Lors du 2026 Hong Kong Web3 Carnival, Lennix a discuté de l’impact des agents IA sur le trading et de la nécessité d’un système d’exploitation onchain complet. Il a souligné l’importance d’intégrer la sécurité et l’efficacité afin de faciliter la prise de décision autonome et de promouvoir des interactions de marché collaboratives.
GateNewsIl y a 1h
L’intelligence générale récursive dépasse 500 millions de dollars de financement, Nvidia en tête de l’opération
Selon un article du Financial Times britannique, la jeune pousse britannique d’intelligence artificielle Recursive Superintelligence, fondée il y a seulement environ quatre mois, a bouclé au moins 500 millions de dollars de levées de fonds, avec une valorisation pré-money de 4 milliards de dollars. Cette opération est menée par GV (anciennement Google Ventures), avec Nvidia (Nvidia) en participant au tour.
MarketWhisperIl y a 3h
La crise au sein du centre de données Fermi AI, dont Trump est le nom, entraîne un départ du PDG et une chute brutale du cours de l’action
Le PDG de Fermi America a donné une annonce qui a provoqué une chute d’environ 20% du cours de l’action, soit une baisse cumulée de 75% depuis son introduction en bourse. L’entreprise fait face à un manque de locataires de référence et à des problèmes au sein de la chaîne d’approvisionnement, empêchant les projets d’être achevés dans les délais prévus. Des pressions multiples se sont accumulées en interne : des investisseurs ont intenté des poursuites, et le marché commence à réévaluer les risques et le modèle économique des centres de données IA.
MarketWhisperIl y a 4h
Le syndicat de Hyundai exige une prime de $2 Billion, des hausses de salaires dans un contexte de préoccupations liées à l’automatisation par l’IA
Le syndicat des travailleurs de Hyundai Motor réclame une prime de 30 % du bénéfice net 2025 de l’entreprise, une hausse de la rémunération de base, une garantie d’emploi face à l’IA, ainsi que des primes liées au partage des profits avec des entreprises partenaires, reflétant des tendances plus larges dans les négociations salariales dans un contexte d’automatisation.
GateNewsIl y a 4h
