En abril, la popular plataforma de alojamiento en la nube Vercel reveló una brecha de seguridad derivada de una herramienta de IA de terceros comprometida llamada Context.ai. Los atacantes explotaron un token OAuth robado de Context.ai para tomar el control de la cuenta de Google Workspace de un empleado de Vercel. Esto les otorgó acceso a los sistemas internos de Vercel y les permitió enumerar variables de entorno "no sensibles" (secretos en texto plano) pertenecientes a un conjunto limitado de proyectos de clientes. Si bien los secretos cifrados y los servicios principales de Vercel (incluidos Next.js, Turbopack y sus paquetes npm) no se vieron afectados, las claves API y las credenciales expuestas obligaron a los clientes afectados a rotar urgentemente sus secretos y reforzar la seguridad. El incidente pone de relieve el creciente riesgo de ataques a la cadena de suministro a través de integraciones OAuth: un atacante vulneró la seguridad de un pequeño proveedor de IA y luego accedió a cientos de objetivos posteriores abusando de permisos amplios.
Más información