Em abril, a popular plataforma de hospedagem em nuvem Vercel divulgou uma violação de segurança decorrente da vulnerabilidade de uma ferramenta de IA de terceiros chamada Context.ai. Os invasores exploraram um token OAuth roubado da Context.ai para assumir o controle da conta do Google Workspace de um funcionário da Vercel. Isso concedeu ao hacker acesso aos sistemas internos da Vercel e permitiu que ele enumerasse variáveis de ambiente "não sensíveis" (segredos em texto simples) pertencentes a um conjunto limitado de projetos de clientes. Embora os segredos criptografados e os serviços principais da Vercel (incluindo Next.js, Turbopack e seus pacotes npm) não tenham sido afetados, as chaves de API e credenciais expostas forçaram os clientes afetados a rotacionar urgentemente seus segredos e reforçar a segurança. O incidente destaca o crescente risco de ataques à cadeia de suprimentos por meio de integrações OAuth: um invasor comprometeu um pequeno fornecedor de IA e, em seguida, invadiu centenas de alvos subsequentes abusando de permissões amplas.
Leia Mais