Vercel məlumat oğurluğu təhlükəsizlik pozuntusu Roblokks xakerləri malware Lumma Stealer Context.ai OAuth token Google Workspace hücum

Vercel-də təhlükəsizlik pozuntusu: Roblokks xakerləri ilə başlamış hücum

Vercel istifadəçilərinin məlumatlarının təhlükə altında olması məlum oldu. Hücum Roblokks oyununda istifadə olunan xakerlər şəklində gizlənmiş Lumma Stealer malware ilə başladı. Şirkət bazar ertəsi günü təhlükəsizlik bülletenində bu barədə məlumat yaydı.

Hücumun inkişaf yolu

Hücumun əsas səbəbi olaraq üçüncü tərəf sistemlərinin zəif bağlanmaları və çox geniş imkanlara malik SaaS inteqrasiyalarının göstərilir. Hücumçu əvvəlcə Context.ai şirkətinin işçisinin kompüterinə daxil olmuş, burada yerləşən məlumatları oğurlamışdır.

Hudson Rock tədqiqatçıları hücumun fevral ayında başlamış olduğunu bildirirlər. Context.ai şirkətinin işçisi Roblokks oyununda istifadə olunan exploitləri axtararkən kompüterinə malware yüklənmişdir. Bu malware növü adətən məlumat oğurlayan proqramlar üçün istifadə olunur.

İşçilərin səhvi böyük fəlakətə səbəb oldu

Context.ai şirkəti bildirir ki, hücum nəticəsində onların AWS mühitinə daxil olunmuş və bəzi istifadəçilərin OAuth tokenlərinə (müxtəlif xidmətlərə avtomatik giriş üçün istifadə olunan kodlar) çıxış əldə edilmişdir. Bu tokenlərdən biri də Vercel işçisinin Google Workspace hesabına aid idi. Vercel Context.ai-nin müştərisi olmasa da, işçi Context AI Office Suite istifadə edərək tam giriş hüququ vermişdir.

“Hücumçu bu giriş hüququndan istifadə edərək işçinin Vercel Google Workspace hesabını ələ keçirmiş, nəticədə bəzi Vercel mühitlərinə və gizli olaraq qeyd olunmamış mühit dəyişənlərinə çıxış əldə etmişdir.”

— Vercel şirkətinin təhlükəsizlik bülletenindən

Təsirlənmiş istifadəçilərə tövsiyələr

Vercel bildirir ki, hücum nəticəsində az sayda istifadəçi təsirlənmişdir və onlara dərhal şəxsi məlumatlarını dəyişdirmələri tövsiyə olunmuşdur. Şirkət isə hansı daxili sistemlərə daxil olunduğu və istifadəçilərin məlumatlarına necə çıxış əldə edildiyi barədə ətraflı məlumat verməkdən imtina etmişdir.

Vercel-in CEO-su Guillermo Rauch müştərilərinin məlumatlarının tamamilə şifrələnmiş olduğunu bildirsə də, hücumçu müəyyən dəyişənlərin inventarlaşdırılması yolu ilə daha da irəliləyə bilmişdir.

“Hücum edən qrupun çox təcrübəli olduğunu və ehtimal ki, süni intellektdən geniş istifadə etdiyini güman edirəm. Onlar Vercel-in strukturunu çox yaxşı başa düşərək sürətlə hərəkət etmişdirlər.”

— Guillermo Rauch, Vercel CEO-su

Hücum edən qrupun adı və nəticələri

ShinyHunters adı ilə çıxış edən təhlükəli qrup Telegramda çıxış edərək oğurlanmış məlumatları satışa çıxarmağa çalışdıqlarını bildirmişdir. Onların iddia etdiyinə görə, oğurlanmış məlumatlara dostup açarları, mənbə kodları və verilənlər bazaları daxildir.

Lakin Google Threat Intelligence şirkətinin baş təhlükəsizlik analitiki Austin Larsen bildirir ki, bu qrupun adı çox güman ki, tanınmaq üçün istifadə olunur:

“Hücum edən qrup tanınmış adlardan istifadə edərək öz nüfuzunu artırmağa çalışır. Qrupun adı nə olursa olsun, məlumatların açıq qalması real təhlükədir.”

— Austin Larsen, Google Threat Intelligence

Tövsiyələr və növbəti addımlar

Vercel həmçinin bildirir ki, Context-in Google Workspace OAuth tətbiqinə edilən hücum bir çox təşkilatlardakı yüzlərlə istifadəçiyə təsir göstərə bilər. Şirkət istifadəçilərinə fəaliyyət qeydlərini yoxlamağı, gizli dəyişənləri nəzərdən keçirməyi və dəyişdirməyi tövsiyə edir.

Context və Vercel bildirirlər ki, CrowdStrike və Mandiant şirkətlərinin dəstəyi ilə hücuma dair araşdırmalar davam edir.

Bu məqalə ilk dəfə CyberScoop saytında dərc olunmuşdur.

Mənbə: CyberScoop
ABŞ Ali Məhkəməsi: Uşaqların gizli cinsiyyət dəyişikliyinə qarşı qərar
← Əvvəlki

ABŞ Ali Məhkəməsi: Uşaqların gizli cinsiyyət dəyişikliyinə qarşı qərar

 Nvidia CEO-nun Çin məsələsindəki qəzəbi: Gərginlik və texnoloji liderlik mübarizəsi
Sonrakı →

Nvidia CEO-nun Çin məsələsindəki qəzəbi: Gərginlik və texnoloji liderl...