## Vercel confirme un incident de sécurité lié à la compromission d'un outil IA Dimanche, **Vercel** a reconnu une violation de sécurité, avertissant un "sous-ensemble limité de clients" que leurs identifiants avaient été compromis. L'entreprise exhorte les clients concernés à changer immédiatement leurs identifiants et enquête activement sur l'étendue complète de l'incident pour déterminer si d'autres clients sont touchés. La violation a été retracée jusqu'à la compromission de **Context.ai**, un outil IA tiers utilisé par un employé de **Vercel**. Selon **Vercel**, l'attaquant a exploité cet accès pour prendre le contrôle du compte **Vercel Google Workspace** de l'employé, lui permettant d'accéder à certains environnements **Vercel** et à des variables d'environnement qui n'étaient pas désignées comme "sensibles". Les variables d'environnement sensibles, stockées de manière à empêcher leur lecture non autorisée, ne semblent pas avoir été consultées. **Mandiant** a été sollicité pour aider à l'enquête, et les forces de l'ordre ont été informées. **Vercel** décrit l'attaquant comme "hautement sophistiqué" en raison de sa rapidité opérationnelle et de sa profonde compréhension des systèmes de **Vercel**. **Vercel** a averti que la simple suppression de projets ou de comptes est insuffisante pour atténuer les risques potentiels pour les clients. Les secrets compromis peuvent encore accorder un accès aux systèmes de production, soulignant la nécessité de changer les identifiants avant de supprimer des projets ou des comptes. ## Incident de mars de Context.ai et compromission de jetons OAuth **Context.ai** a publié sa propre déclaration, expliquant que son outil est conçu pour aider les utilisateurs à créer des présentations et des feuilles de calcul à l'aide d'agents IA. Une fonctionnalité clé est une extension de navigateur qui permet à l'agent IA d'effectuer des actions sur des applications externes. En mars, **Context.ai** a détecté et arrêté une cyberattaque impliquant un accès non autorisé à son environnement **AWS**. **CrowdStrike** a été engagé pour enquêter sur l'attaque, et un client potentiellement concerné a été informé. Une enquête ultérieure, suite à des informations de **Vercel**, a révélé que les jetons OAuth de certains utilisateurs grand public avaient également été probablement compromis lors de l'incident de mars. L'acteur non autorisé semble avoir utilisé un jeton OAuth compromis pour accéder au **Google Workspace** de **Vercel**. **Context.ai** a noté que les configurations d'autorisation internes de **Vercel** semblent avoir permis au compte employé compromis d'accorder des permissions étendues au sein du **Google Workspace** d'entreprise de **Vercel**. ## Infection par un infostealer suspectée Plusieurs sociétés de recherche en cybersécurité ont lié les violations à une infection par un infostealer remontant au 17 février, impliquant prétendument l'appareil d'un employé de **Context.ai**. **Hudson Rock** a rapporté que des journaux indiquent que l'employé recherchait des exploits de jeux **Roblox**, qui sont souvent regroupés avec des malwares et des infostealers. ## Impact potentiel et atténuation Randolph Barr, CISO de **Cequence Security**, a souligné la présence significative de **Vercel** dans la communauté des développeurs, en particulier pour les applications web modernes. La principale préoccupation est l'exposition des variables d'environnement et des jetons, qui peuvent entraîner un accès non autorisé supplémentaire si les équipes ne sécurisent pas rapidement leurs systèmes. Les attaquants appartiendraient à **ShinyHunters**, une organisation cybercriminelle connue avec un historique d'attaques de haut profil. Le groupe a revendiqué la responsabilité de la violation de **Vercel** sur ses canaux de communication et a exigé une rançon de 2 millions de dollars. Le PDG de **Vercel, Guillermo Rauch**, estime que les actions des attaquants ont été "significativement accélérées par l'IA" en raison de leur rapidité et de leur compréhension approfondie de **Vercel**. Il a exhorté tous les clients à changer leurs identifiants et à surveiller l'accès à leurs environnements **Vercel** et aux services connectés. <a href="https://www.recordedfuture.com/?utm_source=therecord&amp;utm_medium=ad"><figure><img src="https://cms.therecord.media/uploads/2025_0514_Record_Ads_970x250_1_d144dbf901.png" data-nimg="1" decoding="async" height="500" width="1000" alt="Recorded Future"></figure></a>