## Vercel bestätigt Sicherheitsvorfall im Zusammenhang mit Kompromittierung eines KI-Tools Am Sonntag bestätigte **Vercel** eine Sicherheitsverletzung und warnte eine "begrenzte Teilmenge von Kunden", dass ihre Anmeldeinformationen kompromittiert worden seien. Das Unternehmen fordert betroffene Kunden dringend auf, ihre Anmeldeinformationen sofort zu ändern, und untersucht aktiv den vollen Umfang des Vorfalls, um festzustellen, ob weitere Kunden betroffen sind. Die Sicherheitsverletzung wurde auf die Kompromittierung von **Context.ai** zurückgeführt, einem Drittanbieter-KI-Tool, das von einem **Vercel**-Mitarbeiter verwendet wurde. Laut **Vercel** nutzte der Angreifer diesen Zugriff, um die Kontrolle über das **Vercel Google Workspace**-Konto des Mitarbeiters zu erlangen, wodurch er auf bestimmte **Vercel**-Umgebungen und Umgebungsvariablen zugreifen konnte, die nicht als 'sensibel' eingestuft waren. Sensible Umgebungsvariablen, die so gespeichert sind, dass unbefugtes Lesen verhindert wird, sind vermutlich nicht zugänglich gewesen. **Mandiant** wurde hinzugezogen, um die Untersuchung zu unterstützen, und die Strafverfolgungsbehörden wurden informiert. **Vercel** beschreibt den Angreifer aufgrund seiner operativen Geschwindigkeit und seines tiefen Verständnisses der **Vercel**-Systeme als "hochgradig raffiniert". **Vercel** hat davor gewarnt, dass das einfache Löschen von Projekten oder Konten nicht ausreicht, um potenzielle Kundenrisiken zu mindern. Kompromittierte Geheimnisse können immer noch den Zugriff auf Produktionssysteme ermöglichen, was die Notwendigkeit unterstreicht, Anmeldeinformationen zu ändern, bevor Projekte oder Konten gelöscht werden. ## March-Vorfall von Context.ai und Kompromittierung von OAuth-Tokens **Context.ai** veröffentlichte eine eigene Erklärung, in der erläutert wurde, dass ihr Tool dazu dient, Benutzer beim Erstellen von Präsentationen und Tabellenkalkulationen mithilfe von KI-Agenten zu unterstützen. Eine Schlüsselfunktion ist eine Browsererweiterung, die es dem KI-Agenten ermöglicht, Aktionen in externen Anwendungen durchzuführen. Im März erkannte und stoppte **Context.ai** einen Cyberangriff, der unbefugten Zugriff auf seine **AWS**-Umgebung beinhaltete. **CrowdStrike** wurde beauftragt, den Angriff zu untersuchen, und ein potenziell betroffener Kunde wurde benachrichtigt. Eine nachfolgende Untersuchung, die durch Informationen von **Vercel** angestoßen wurde, ergab, dass OAuth-Tokens für einige Verbraucher-Nutzer während des Vorfalls im März wahrscheinlich ebenfalls kompromittiert wurden. Der unbefugte Akteur scheint ein kompromittiertes OAuth-Token verwendet zu haben, um auf das **Google Workspace** von **Vercel** zuzugreifen. **Context.ai** stellte fest, dass die internen Autorisierungskonfigurationen von **Vercel** es dem kompromittierten Mitarbeiterkonto offenbar ermöglichten, breite Berechtigungen innerhalb des Unternehmens-**Google Workspace** von **Vercel** zu gewähren. ## Infostealer-Infektion vermutet Mehrere Cybersicherheitsforschungsfirmen haben die Sicherheitsverletzungen mit einer Infostealer-Infektion vom 17. Februar in Verbindung gebracht, die angeblich das Gerät eines **Context.ai**-Mitarbeiters betraf. **Hudson Rock** berichtete, dass Protokolle darauf hindeuten, dass der Mitarbeiter nach **Roblox**-Spiel-Exploits gesucht hat, die oft mit Malware und Infostealern gebündelt sind. ## Mögliche Auswirkungen und Abhilfemaßnahmen Randolph Barr, CISO von **Cequence Security**, hob die bedeutende Präsenz von **Vercel** in der Entwicklergemeinschaft hervor, insbesondere für moderne Webanwendungen. Die Hauptsorge ist die Offenlegung von Umgebungsvariablen und Tokens, die zu weiterem unbefugtem Zugriff führen können, wenn Teams ihre Systeme nicht umgehend sichern. Die Angreifer gehören angeblich zu **ShinyHunters**, einer bekannten kriminellen Organisation mit einer Geschichte von hochkarätigen Angriffen. Die Gruppe bekannte sich über ihre Kommunikationskanäle zur **Vercel**-Sicherheitsverletzung und forderte ein Lösegeld von 2 Millionen US-Dollar. **Vercel CEO Guillermo Rauch** glaubt, dass die Handlungen der Angreifer "erheblich durch KI beschleunigt" wurden, aufgrund ihres schnellen Tempos und ihres tiefen Verständnisses von **Vercel**. Er forderte alle Kunden auf, ihre Anmeldeinformationen zu ändern und den Zugriff auf ihre **Vercel**-Umgebungen und verbundenen Dienste zu überwachen. <a href="https://www.recordedfuture.com/?utm_source=therecord&amp;utm_medium=ad"><figure><img src="https://cms.therecord.media/uploads/2025_0514_Record_Ads_970x250_1_d144dbf901.png" data-nimg="1" decoding="async" height="500" width="1000" alt="Recorded Future"></figure></a>