En avril, Vercel, plateforme d'hébergement cloud populaire, a révélé une faille de sécurité liée à la compromission de Context.ai, un outil d'IA tiers. Des attaquants ont exploité un jeton OAuth volé à Context.ai pour prendre le contrôle du compte Google Workspace d'un employé de Vercel. Ceci leur a permis d'accéder aux systèmes internes de Vercel et de recenser les variables d'environnement « non sensibles » (des secrets en clair) d'un nombre limité de projets clients. Si les secrets chiffrés et les services principaux de Vercel (dont Next.js, Turbopack et ses packages npm) sont restés intacts, l'exposition des clés API et des identifiants a contraint les clients concernés à renouveler d'urgence leurs secrets et à renforcer leur sécurité. Cet incident met en lumière le risque croissant d'attaques ciblant la chaîne d'approvisionnement via les intégrations OAuth : un attaquant a compromis un petit fournisseur d'IA, puis a pu accéder à des centaines de cibles en aval en abusant de permissions étendues.
En savoir plus