В апреле популярная платформа облачного хостинга Vercel сообщила о нарушении безопасности, вызванном взломом стороннего инструмента искусственного интеллекта Context.ai. Злоумышленники использовали украденный токен OAuth от Context.ai для захвата учетной записи Google Workspace сотрудника Vercel. Это предоставило хакеру доступ к внутренним системам Vercel и позволило ему перечислить «неконфиденциальные» переменные среды (секретные данные в открытом виде), принадлежащие ограниченному набору клиентских проектов. Хотя зашифрованные секретные данные и основные сервисы Vercel (включая Next.js, Turbopack и его пакеты npm) остались нетронутыми, раскрытые ключи API и учетные данные вынудили пострадавших клиентов срочно сменить секретные данные и усилить безопасность. Этот инцидент подчеркивает растущий риск атак на цепочки поставок через интеграцию OAuth: злоумышленник взломал систему небольшого поставщика ИИ, а затем «проник» в сотни нижестоящих целей, злоупотребляя широкими правами доступа.
Читать далее