ベーティングの監視によると、Vercelの公式アカウントは4月21日の午前中に、GitHub、Microsoft、npm、Socketと共同調査の結果、Vercelがnpmに公開したパッケージが改ざんされていないことを確認し、「サプライチェーンは引き続き安全である」と発表しました。VercelはNext.js、Turbopack、SWRなどのオープンソースライブラリをnpmで公開しており、これらは月間数十億回のダウンロードを記録しています。攻撃者が従業員アカウントを使ってこれらのパッケージを毒物化した場合、その影響はVercelの顧客をはるかに超えることになります。この検証により、事件に伴う最大のリスクが排除されました。同日、公式セキュリティ発表は3つの詳細とともに更新されました。影響範囲は初めてフィールドレベルまで明確化されました。発表によると、漏洩した情報は「敏感」とマークされていなかった顧客の環境変数であり、バックエンドで復号された後に平文のまま保存されていたことが判明しました。Vercelはさらに多くのデータが流出したかどうかを調査中です。顧客向けの推奨事項として、「Vercelのプロジェクトやアカウント自体を削除してもリスクは排除されない」と追記されました。攻撃者が入手した資格情報は、未マークの敏感キーをすべてローテーションしない限り、削除前でも直接本番システムに接続できるためです。製品側では、デフォルト値が変更され、新しい環境変数は自動的に「敏感」と設定されるようになりました。以前は古いアカウントでは、新たに追加された変数は通常タイプに設定されており、手動で感度を有効にする必要がありました。これが攻撃者が平文変数を読み取る直接的な入口となっていました。ダッシュボードには、より詳細な活動ログインターフェースとチームレベルの環境変数管理も導入され、「二要素認証の有効化」がすべてのセキュリティ推奨事項の中で優先されています。
Vercel セキュリティインシデントの最新情報:npm パッケージは侵害されていません、新しい環境変数はデフォルトで「機密」扱い
ベーティングの監視によると、Vercelの公式アカウントは4月21日の午前中に、GitHub、Microsoft、npm、Socketと共同調査の結果、Vercelがnpmに公開したパッケージが改ざんされていないことを確認し、「サプライチェーンは引き続き安全である」と発表しました。VercelはNext.js、Turbopack、SWRなどのオープンソースライブラリをnpmで公開しており、これらは月間数十億回のダウンロードを記録しています。攻撃者が従業員アカウントを使ってこれらのパッケージを毒物化した場合、その影響はVercelの顧客をはるかに超えることになります。この検証により、事件に伴う最大のリスクが排除されました。同日、公式セキュリティ発表は3つの詳細とともに更新されました。影響範囲は初めてフィールドレベルまで明確化されました。発表によると、漏洩した情報は「敏感」とマークされていなかった顧客の環境変数であり、バックエンドで復号された後に平文のまま保存されていたことが判明しました。Vercelはさらに多くのデータが流出したかどうかを調査中です。顧客向けの推奨事項として、「Vercelのプロジェクトやアカウント自体を削除してもリスクは排除されない」と追記されました。攻撃者が入手した資格情報は、未マークの敏感キーをすべてローテーションしない限り、削除前でも直接本番システムに接続できるためです。製品側では、デフォルト値が変更され、新しい環境変数は自動的に「敏感」と設定されるようになりました。以前は古いアカウントでは、新たに追加された変数は通常タイプに設定されており、手動で感度を有効にする必要がありました。これが攻撃者が平文変数を読み取る直接的な入口となっていました。ダッシュボードには、より詳細な活動ログインターフェースとチームレベルの環境変数管理も導入され、「二要素認証の有効化」がすべてのセキュリティ推奨事項の中で優先されています。