云开发平台 Vercel 近期披露了一起安全事件,导致部分客户数据遭到未经授权的访问。一名自称“ShinyHunters”的黑客声称窃取了公司的访问密钥、源代码和数据库信息,并在黑客论坛上出售,同时宣称曾向 Vercel 索要 200 万美元赎金。Vercel 官方确认了事件,表示其核心服务未受影响,并正在积极调查和协助受影响的客户,同时建议用户更新密钥以确保安全。
事件概览
Vercel 是一个为开发者提供托管和部署基础设施的云平台,以其开发的 Next.js 框架而闻名。该公司发布安全公告,确认其部分内部系统遭遇了 未经授权的访问。
- 官方确认: Vercel 已确认发生安全事件,并聘请了事件响应专家进行调查。
- 执法部门介入: 公司已向执法部门通报了此事件。
- 服务状态: Vercel 强调其核心服务 没有受到影响,并正在与受影响的客户直接沟通。
黑客的说法与勒索
事件的披露源于一名自称“ShinyHunters”的黑客在网络论坛上发布的消息。
“我将要给你的访问权限包括多个员工账户,这些账户可以访问数个内部部署、API 密钥(包括一些 NPM 和 GitHub 令牌)。”
该黑客声称正在出售从 Vercel 窃取的数据,具体包括:
- 访问密钥 和 API 密钥
- 公司 源代码
- 数据库信息
- 内部部署系统的访问权限
作为证据,攻击者分享了一个包含约 580 条 Vercel 员工信息(姓名、邮箱、账户状态等)的文本文件,以及一张疑似 Vercel 内部企业仪表盘的截图。不过,这些数据的 真实性尚未得到独立证实。此外,该黑客还声称曾就此事与 Vercel 联系,并提出了 200 万美元 的勒索要求。
Vercel 的回应与安全建议
Vercel 正在积极采取措施保护其客户。为了应对此次事件,官方建议用户采取以下预防措施来保障账户安全:
- 审查环境变量: 仔细检查项目中使用的环境变量。
- 使用敏感变量功能: 利用 Vercel 提供的敏感环境变量功能来增强保护。
- 轮换密钥: 如果怀疑有风险,应立即轮换和更新账户中使用的各类密钥 (secrets)。