Vercel meldet Leak: Mitarbeitendendaten veröffentlicht; mögliches Einfallstor ist eine Drittanbieter‑KI‑OAuth‑App.
In Kürze
- Namen, E‑Mails und Zeitstempel geleakt
- Mutmaßlicher Einstieg über Google‑OAuth‑KI‑App
- Admins sollen Logs, OAuth‑Apps und Tokens prüfen
Vercel gehackt: Hacker veröffentlichen Mitarbeitenden‑Daten, Einfallstor offenbar Drittanbieter‑KI‑Tool
Die Hosting‑Plattform Vercel hat einen Security Incident bestätigt: Unbekannte Angreifer veröffentlichen offenbar erbeutete Daten und versuchen, diese zu verkaufen. In einem Online‑Posting gab sich ein Account als Teil der Gruppe ShinyHunters aus — die Gruppe wurde kürzlich mit einem Angriff auf Rockstar Games in Verbindung gebracht — und veröffentlichte unter anderem Namen von Mitarbeitenden, E‑Mail‑Adressen und Zeitstempel zu Aktivitäten.
Vercel spricht von einem „begrenzten Teil“ der Kundschaft als betroffen. Als mögliches Einfallstor nennt das Unternehmen eine kompromittierte Drittanbieter‑KI‑Anwendung, nennt diesen Anbieter jedoch nicht beim Namen. Nach internen Ermittlungen war offenbar die Google‑Workspace‑OAuth‑App dieses Drittanbieters Teil eines größeren Vorfalls, der potenziell Hunderte von Nutzerkonten in zahlreichen Organisationen betrifft. (Eine OAuth‑App ist eine Schnittstelle, mit der Drittprogramme auf Google‑Konten zugreifen können.)
Welche Folgen das Leck haben kann
Zu den veröffentlichten Daten gehören Mitarbeitenden‑Namen, E‑Mail‑Adressen und Aktivitätszeitstempel — Informationen, die Angreifer für gezielte Phishing‑Angriffe oder zur Ausweitung von Zugriffen nutzen könnten. Vercel hat IOCs (Indicators of Compromise) veröffentlicht, also technische Hinweise, mit denen andere Organisationen prüfen können, ob sie ebenfalls betroffen sind.
Was Vercel empfiehlt
Vercel rät Administrator:innen dringend, folgende Schritte umzusetzen:
- Aktivitätsprotokolle prüfen: Schau in die Logs nach ungewöhnlichen Anmeldungen, App‑Zugriffen oder OAuth‑Autorisationen.
- Verwendete Google‑OAuth‑Apps überprüfen: Prüfe, ob die fragliche Drittanbieter‑App in deiner Google‑Workspace‑Umgebung installiert oder autorisiert ist.
- Umgebungsvariablen rotieren: Ersetze API‑Schlüssel, Tokens und andere geheime Zugangsdaten, die in Umgebungsvariablen gespeichert sind, um ggf. offengelegte Credentials ungültig zu machen.
- IOCs nutzen: Vergleiche die von Vercel veröffentlichten Indicators of Compromise mit deinen Systemen, um Spuren eines Angriffs zu entdecken.
Was du als Administrator:in oder Entwickler:in sofort tun solltest
Unmittelbar prüfen: Aktivitätslogs, authorisierte OAuth‑Apps in Google Workspace und alle Umgebungsvariablen, in denen Schlüssel liegen. Setze eine Rotation für Tokens und API‑Schlüssel an, damit eventuell gestohlene Werte nicht mehr funktionieren. Nutze die IOCs von Vercel, um automatisiert nach Auffälligkeiten zu suchen.
Was du als normale:r Nutzer:in beachten solltest
Bleib wachsam bei E‑Mails mit ungewöhnlichen Aufforderungen, Links oder Anhängen. Melde verdächtige Nachrichten umgehend an deine IT‑Abteilung und ändere bei Auffälligkeiten Passwörter, die du mehrfach nutzt.
Vercel hat den Vorfall bestätigt, nennt aber nicht den Namen des betroffenen Drittanbieters. Administrator:innen in Google‑Workspace‑Umgebungen sollten deshalb jetzt prüfen, ob entsprechende Apps autorisiert sind und die von Vercel publizierten IOCs abgleichen.
Quellen
- Quelle: Vercel
- Der ursprüngliche Artikel wurde hier veröffentlicht
- Dieser Artikel wurde im Podcast KI-Briefing-Daily behandelt. Die Folge kannst du hier anhören.
