Vercel เปิดเผยเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับการเข้าถึงระบบภายในโดยไม่ได้รับอนุญาต ซึ่งส่งผลกระทบต่อกลุ่มลูกค้าจำนวนจำกัด
แพลตฟอร์มโฮสต์เว็บไซต์นี้ได้เผยแพร่ ประชาสัมพันธ์ด้านความปลอดภัย เมื่อวันที่ 19 เมษายน พร้อมแนะนำให้ทุกผู้ใช้งานรีบตรวจสอบ environment variables ของตนทันที
เหตุการณ์ที่เกิดขึ้นกับ Vercel คืออะไร
ตาม คำชี้แจงอย่างเป็นทางการของ Vercel ผู้ไม่หวังดีสามารถเข้าถึงระบบภายในบางส่วนได้โดยไม่ได้รับอนุญาต โดยบริษัทยังได้เชิญผู้เชี่ยวชาญ incident response เข้ามาช่วยเหลือและแจ้งเจ้าหน้าที่บังคับใช้กฎหมายเรียบร้อยแล้ว
นักพัฒนา Theo Browne ได้ให้ข้อมูลเพิ่มเติมว่า อินทิเกรชัน Linear และ GitHub ของ Vercel คือจุดที่ได้รับผลกระทบหลักจากการโจมตีในครั้งนี้
อย่างไรก็ตาม environment variables ที่ถูกตั้งค่าว่าเป็น “sensitive” ยังถูกปกป้องไว้อย่างปลอดภัยในแพลตฟอร์ม
สำหรับ variables ที่ไม่ได้ถูกตั้งค่าว่าเป็น sensitive ควรทำการ rotate เพื่อความปลอดภัยไว้ก่อน
วิธีการที่ใช้โจมตีในครั้งนี้อาจ มีเป้าหมายโจมตีบริษัทอื่นๆ นอกเหนือจาก Vercel ด้วย โดยขณะนี้ขอบเขตของลูกค้าที่ได้รับผลกระทบยังไม่ชัดเจนเพราะการสอบสวนยังคงดำเนินอยู่
เหตุใดโครงการคริปโตจึงควรให้ความสำคัญ
โครงการคริปโตและ Web3 จำนวนมากนำ frontend มาติดตั้งใช้งานบน Vercel ตั้งแต่ตัวเชื่อมต่อกระเป๋าสตางค์ ไปจนถึง ส่วนติดต่อแอปพลิเคชันแบบกระจายศูนย์
โครงการที่เก็บ API key, private RPC endpoint หรือความลับที่เกี่ยวข้องกับกระเป๋าสตางค์ไว้ใน environment variables ที่ไม่ใช่ sensitive มีความเสี่ยงต่อการถูกเปิดเผย
ช่องโหว่นี้ไม่ส่งผลต่อ blockchain หรือ smart contract โดยตรง เพราะระบบเหล่านั้นทำงานแยกจาก การโฮสต์ frontend
แต่กระบวนการ deploy ที่ถูก compromise อาจนำไปสู่การแก้ไข build สำหรับบัญชีที่ได้รับผลกระทบในทางทฤษฎีได้
ยังไม่มีหลักฐานว่ามีการแก้ไข build ในลักษณะดังกล่าวเกิดขึ้น
Vercel แนะนำให้ผู้ใช้งานตรวจสอบ environment variables ทั้งหมดและให้เปิดใช้งานฟีเจอร์ sensitive variable ของแพลตฟอร์ม
ผู้เชี่ยวชาญด้านความปลอดภัยยังแนะนำให้ regenerate GitHub token ที่เชื่อมโยงกับอินทิเกรชันของ Vercel และตรวจสอบ build log ล่าสุดว่ามี credentials ค้างอยู่หรือไม่
เหตุการณ์นี้ถือเป็นเครื่องเตือนใจถึงความเสี่ยงของแพลตฟอร์มการ deploy แบบรวมศูนย์ในพื้นที่แบบกระจายศูนย์
