Security

Vercel Konfirmasi Insiden Pelanggaran Keamanan Saat Peretas Klaim Jual Data Curian

2 days ago
2 minutes read

Platform pengembangan cloud terkemuka, Vercel, secara resmi telah mengonfirmasi terjadinya insiden keamanan setelah sejumlah aktor ancaman mengklaim telah berhasil menyusup ke sistem mereka dan mencoba menjual data yang dicuri.

Vercel dikenal luas sebagai platform cloud yang menyediakan infrastruktur hosting dan penerapan (deployment) untuk pengembang, dengan fokus kuat pada kerangka kerja JavaScript. Perusahaan ini adalah pencipta Next.js, kerangka kerja React yang sangat populer, serta penyedia layanan komputasi edge dan pipeline CI/CD.

Dalam buletin keamanan yang diterbitkan, perusahaan menyatakan bahwa ada sebagian kecil pelanggannya yang terdampak oleh pelanggaran ini.

“Kami telah mengidentifikasi insiden keamanan yang melibatkan akses tidak sah ke sistem internal Vercel tertentu,” peringat Vercel. “Kami secara aktif menyelidiki, dan kami telah melibatkan pakar respons insiden untuk membantu menyelidiki dan memulihkan.”

Akar Masalah: Kompromi Pihak Ketiga

Setelah pengumuman awal, Vercel memperbarui penasihat keamanannya untuk merinci bahwa pelanggaran tersebut bermula dari penyusupan pada aplikasi OAuth Google Workspace milik alat kecerdasan buatan (AI) pihak ketiga.

CEO Vercel, Guillermo Rauch, memberikan penjelasan lebih lanjut di platform X. Ia menyatakan bahwa akses awal terjadi setelah akun Google Workspace milik salah satu karyawan Vercel disusupi melalui pelanggaran di platform AI Context.ai.

Vercel sangat menyarankan administrator Google Workspace dan pemilik akun Google untuk memeriksa dan mencabut akses untuk aplikasi OAuth berikut jika ditemukan:

  • 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com

Ekskalasi Melalui Variabel Lingkungan

Menurut Rauch, penyerang menggunakan akses dari akun yang disusupi tersebut untuk bereskalasi lebih jauh ke dalam lingkungan Vercel. Di sana, mereka berhasil mengakses variabel lingkungan (environment variables) yang tidak ditandai sebagai data sensitif, sehingga tidak dienkripsi saat diam (unencrypted at rest).

Meskipun secara desain ditujukan untuk menyimpan informasi yang tidak sensitif, penyerang berhasil mendapatkan akses lebih lanjut setelah menghitung dan mengeksploitasi variabel-variabel tersebut.

“Vercel menyimpan semua variabel lingkungan pelanggan terenkripsi penuh saat diam. Kami memiliki banyak mekanisme pertahanan mendalam untuk melindungi sistem inti dan data pelanggan,” tegas Rauch. “Namun, kami memiliki kemampuan untuk menetapkan variabel lingkungan sebagai ‘non-sensitif.’ Sayangnya, penyerang mendapat akses lebih lanjut melalui enumerasi mereka.”

Klaim Penyerang dan Tuntutan Tebusan

Pengungkapan resmi ini muncul setelah seorang peretas yang mengklaim dirinya sebagai bagian dari kelompok “ShinyHunters” mengunggah postingan di forum peretasan. (Sebagai catatan, anggota grup pemerasan ShinyHunters lainnya membantah terlibat dalam insiden Vercel ini).

Dalam forum tersebut, peretas mengklaim menjual kunci akses, kode sumber (source code), dan data basis data yang diduga dicuri dari Vercel.

  • Mereka mengklaim memiliki akses ke berbagai akun karyawan dengan kendali atas beberapa penerapan internal dan kunci API (termasuk token NPM dan GitHub).
  • Penyerang membagikan fail teks berisi 580 catatan data informasi karyawan Vercel (nama, alamat email, status akun, dan stempel waktu aktivitas).
  • Melalui pesan Telegram, aktor ancaman tersebut mengklaim sedang berkomunikasi dengan Vercel dan menuntut uang tebusan sebesar USD 2 juta.

Langkah Mitigasi dan Status Layanan

Vercel memastikan bahwa layanan inti mereka tidak terdampak secara operasional. Penyelidikan perusahaan juga telah mengonfirmasi bahwa proyek sumber terbuka (open-source) mereka seperti Next.js, Turbopack, dan lainnya tetap sepenuhnya aman.

Sebagai respons cepat, Vercel telah meluncurkan pembaruan pada UI dasbor mereka, mencakup halaman ikhtisar untuk variabel lingkungan dan antarmuka yang ditingkatkan untuk mengelola variabel lingkungan yang sensitif.

Saran untuk Pelanggan: Pengguna Vercel sangat disarankan untuk segera meninjau variabel lingkungan mereka. Pastikan tidak ada informasi sensitif di variabel standar, gunakan fitur variabel lingkungan sensitif agar data dienkripsi saat diam, dan lakukan rotasi kunci (secrets rotation) jika diperlukan.

Tags
2 days ago
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button