Оновлення щодо інциденту безпеки Vercel: пакети npm не скомпрометовані, нові змінні середовища за замовчуванням позначені як «Чутливі»

Згідно з моніторингом від Beating, офіційний акаунт Vercel уранці 21 квітня оголосив, що після спільного розслідування з GitHub, Microsoft, npm та Socket було підтверджено, що пакети, опубліковані Vercel на npm, не були підроблені, і ланцюг поставок «залишається безпечним». Vercel підтримує відкриті бібліотеки, такі як Next.js, Turbopack і SWR на npm, які разом мають мільярди завантажень щомісяця. Якщо б зловмисник отруїв ці пакети, використовуючи обліковий запис співробітника, вплив був би значно більшим, ніж на клієнтів Vercel. Це підтвердження усунуло найбільший пов’язаний ризик, пов’язаний з інцидентом. У той же день офіційне повідомлення про безпеку було оновлено трьома деталями. Було вперше уточнено обсяг ураження до рівня поля. У повідомленні зазначалося, що витекла інформація складалася з змінних середовища клієнтів, які не були позначені як «чутливі», і зберігалися у відкритому вигляді після розшифрування у бекенді. Vercel все ще досліджує, чи було викрадено більше даних. Серед рекомендацій для клієнтів додано, що «видалення проекту або облікового запису Vercel самостійно не усуває ризик». Усі незазначені чутливі ключі мають бути змінені перед розглядом видалення, оскільки облікові дані, отримані зловмисником, все ще можуть безпосередньо підключатися до виробничої системи. З боку продукту значення за замовчуванням було змінено. Нові змінні середовища тепер за замовчуванням встановлюються як «чутливі» (чутливі: увімкнено). Раніше для старих облікових записів нові змінні за замовчуванням були звичайного типу і потребували ручної перевірки для увімкнення чутливості. Це був прямий шлях для зловмисника до читання відкритих змінних. Також було запущено більш детальний інтерфейс журналу активності та управління змінними середовища на рівні команди; серед усіх рекомендацій з безпеки пріоритетною стала «увімкнення двофакторної автентифікації».