정보 탈취와 강탈을 주요 업무로 하는 해커 팀 ShinyHunter는 최근 유명한 클라우드 개발 플랫폼인 Vercel을 무너뜨렸습니다. 플랫폼이 공격을 받은 후 일부 내부 민감한 정보와 고객 정보가 유출되었습니다. 플랫폼은 현재 영향을 받는 고객에게 다양한 자격 증명을 즉시 교체하고 활동 로그를 확인하도록 알리고 있습니다.
처음에 Vercel은 공격 원인을 발표하지 않았습니다. 당시 AI 도구인 Context.ai에서 소스가 나왔다는 소문이 돌기도 했다. 나중에 Vercel은 이 진술을 확인하기 위해 보안 사고 페이지를 업데이트했습니다. 직원들은 Context.AI를 사용하여 손상되었습니다. 해커는 해당 도구의 접근 권한을 이용해 Vercel Google Workspace 계정을 제어한 후, 이 계정을 이용해 내부 환경에 진입했습니다.
스크린샷에는 Vercel이 텔레그램을 통해 해커에게 연락했으며 해커에게 데이터를 게시하지 말라고 요청한 내용이 나와 있습니다. 그러나 해커의 갈취는 주로 돈을 위한 것이다. 해커는 데이터 기밀을 유지하는 대가로 200만 달러를 요구합니다. Vercel이 데이터 기밀 유지의 대가로 몸값을 제공할지는 확실하지 않습니다.
Vercel은 소수의 고객만이 영향을 받았다고 말했습니다.
Vercel은 보안 사고 업데이트에서 이번 보안 사고로 인해 소수의 고객 데이터만 도난당했다고 강조했습니다. 이제 보안 조치를 강화하고 다양한 유형의 자격 증명을 교체하기 위해 이러한 고객에게 비공개로 연락했습니다. 또한 Vercel은 Vercel 내에서 민감하다고 표시된 정보는 열람이 허용되지 않기 때문에 해커들이 훔친 내부 정보는 기밀이 아니어서 해커들이 Vercel의 민감한 정보를 획득하지 못했다고 강조했습니다.
공격을 받았는지 판단하는 방법도 매우 간단합니다. Google 또는 Google Workspace 콘솔에 로그인하여 OAuth 애플리케이션에 다음이 포함되어 있는지 확인하세요. 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com (Google 관계자가 해당 애플리케이션을 삭제한 것 같습니다. 승인 내역을 볼 수 있는지 모르겠습니다.)
이 OAuth 인증 애플리케이션이 있다면 해당 사용자가 해킹당한 것입니다. 이때 해커가 자격증명을 통해 서버에 로그인하여 다른 지속성 백도어를 설치했을 수도 있으므로 사용자는 즉시 모든 자격증명을 교체하고 다양한 서비스에서 비정상적인 로그인 동작을 확인해야 합니다.
Context.AI는 아직 응답을 게시하지 않았습니다:
Vercel은 이 보안 사고에 대해 Context.AI에 통보했지만 후자는 아직 아무런 응답도 하지 않았습니다. 블루닷이 자사 블로그를 확인한 결과 Context.AI가 어젯밤에 다른 콘텐츠를 소개하기 위해 3개의 블로그를 게시했지만 보안 관련 내용은 언급하지 않은 것으로 확인되어 해커가 어떻게 Context.AI에 침입했는지는 완전히 불분명합니다.
따라서 Context.AI를 사용하는 사용자들도 각종 자격증명을 즉시 확인 및 교체하고 비정상적인 로그인 동작이 있는지 확인하는 것이 좋습니다. 물론 더 높은 수준의 보안을 추구한다면 비정상적인 동작이 발견되지 않더라도 모든 자격 증명을 직접 교체해야 합니다.
Vercel을 통해