взломали самое популярное облако у вайбкодеров

взломали самое популярное облако у вайбкодеров. вчера внутреннюю базу vercel выставили на breachforums за $2M (официально)

пару месяцев назад мне пришёл очередной чек на $100 за пачку хобби-проектов от верселя, и я собрался и переехал на свой VPS. тогда казалось, что возможно это ту мач и лучше платить за удобство. а вчера vercel официально подтвердил большой взлом и сомнений стало меньше

так что все-таки случилось?

0/ vercel был взломан через уязвимость в сервисе context ai по цепочке oauth приложения → google workspace. ceo Guillermo Rauch пишет что атака была "highly sophisticated, possibly using AI". то есть ai-платформу вскрыли через ai-сервис, возможно с помощью ai. и это еще не вышли модели уровня mythos

1/ дамп продают shinyhunters — те самые, что ломали ticketmaster и другие крупные сервисы. если твой прод на vercel, его внутрянка (код, энвы, ключи) сейчас лежит на breachforums с ценником $2M

2/ в дампе npm tokens и github tokens. если ты публиковал пакеты через vercel или давал им scope в своём github, эти ключи сейчас у третьих лиц. через такие ключи как раз совершали самые большие suppy chain взломы последнего времени

3/ vercel контролирует next.js, а next — это 6 миллионов установок в неделю. компрометация на стороне вендора раздаёт риск всей цепочке. если заденет пакет, то прилететь может даже тому, кто хостится у себя и тут мой VPS не поможет

4/ vercel буквально писали хакерам в telegram и просили остановиться. немного смущает, когда уровень работы с инцидентами у вендора, которому ты доверил прод — это переписка в мессенджере, потому что других рычагов не осталось

если вы на vercel, то стоит пойти и перегенировать env variables прямо сейчас (страйп ключи, сервисные ключи и прочее), в первом комменте оставлю больше деталей