Thought Leadership
Ein Vercel-Mitarbeiter hatte einem KI-Tool per OAuth vollen Zugriff auf sein Google-Workspace-Konto eingeräumt. Das nutzten Angreifer aus und gelangten so tief in die Infrastruktur des Next.js-Anbieters.
Vercel, das Cloud-Unternehmen hinter dem populären Next.js-Framework, hat einen Sicherheitsvorfall bestätigt. Ausgangspunkt war nicht Vercel selbst, sondern ein Drittanbieter: Die KI-Plattform Context.ai wurde kompromittiert, und über sie gelangten die Angreifer in das Google-Workspace-Konto eines Vercel-Mitarbeiters.
Context.ai bietet eine KI-Suite für Unternehmen an, die Agenten auf unternehmensinternem Wissen trainiert. Nutzer können sich mit ihrem Google-Konto anmelden und der App weitreichende OAuth-Berechtigungen erteilen. Laut Vercel hatte der betroffene Mitarbeiter Context.ai mit seinem Firmen-Account verknüpft und dabei die Option „Alle erlauben“ bei den OAuth-Berechtigungen aktiviert. Context.ai räumte ein, dass Vercels interne OAuth-Konfiguration diese weitreichende Rechtevergabe ermöglicht habe. Die Angreifer nutzten die so erlangten Tokens, um das Google-Workspace-Konto zu übernehmen und sich anschließend lateral in interne Systeme zu bewegen.
Lumma Stealer als vermuteter Einstiegspunkt
Das Cybersicherheitsunternehmen Hudson Rock hat nach eigenen Angaben den Ursprung des Angriffs weiter zurückverfolgt. Demnach soll ein Context.ai-Mitarbeiter bereits im Februar Opfer der Malware Lumma Stealer geworden sein, nach dem Download von Roblox-Exploit-Skripten. Dabei wurden offenbar Google-Workspace-Zugangsdaten sowie API-Keys für Supabase, Datadog und Authkit gestohlen. Vercel hat diese Theorie zum Zeitpunkt der Veröffentlichung noch nicht unabhängig bestätigt.
Context.ai selbst gab an, im März unautorisierten Zugriff auf seine AWS-Umgebung entdeckt und blockiert zu haben. Erst später stellte das Unternehmen fest, dass die Angreifer auch OAuth-Tokens einiger Consumer-Nutzer kompromittiert hatten.
Was wurde erbeutet und was nicht?
Vercel betonte, dass als „sensibel“ markierte Umgebungsvariablen verschlüsselt gespeichert sind und nicht abgerufen wurden. Variablen ohne diese Kennzeichnung müssen hingegen als potenziell kompromittiert betrachtet werden. Das Unternehmen rät betroffenen Kunden, Aktivitätsprotokolle zu prüfen, API-Schlüssel und Datenbankzugänge aus nicht-sensiblen Umgebungsvariablen zu rotieren sowie aktuelle Deployments auf Auffälligkeiten zu überprüfen.
Als Verantwortlichen für den Angriff hat sich die bekannte Hackergruppe ShinyHunters gemeldet. Sie soll 2 Millionen US-Dollar für die erbeuteten Daten fordern. Vercel beschreibt den Angreifer als hochgradig professionell angesichts seiner Geschwindigkeit und seines detaillierten Systemverständnisses.
Reaktion: Mandiant eingeschaltet, neue Dashboard-Funktionen
Vercel hat die Google-Tochter Mandiant als Incident-Response-Dienstleister hinzugezogen, die Strafverfolgungsbehörden informiert und eine begrenzte Anzahl betroffener Kunden direkt kontaktiert. Zudem wurden neue Dashboard-Funktionen eingeführt, darunter eine Übersichtsseite für Umgebungsvariablen und eine verbesserte Verwaltungsoberfläche für sensible Einstellungen.
CEO Guillermo Rauch versicherte auf X, dass die Lieferkette analysiert wurde: Next.js, Turbopack und andere Open-Source-Projekte von Vercel seien nicht betroffen.
