Cập nhật về sự cố bảo mật Vercel: Các gói npm không bị xâm phạm, biến môi trường mới mặc định là 'nhạy cảm'

Theo giám sát của Beating, tài khoản chính thức của Vercel đã công bố vào sáng ngày 21 tháng 4 rằng sau cuộc điều tra chung với GitHub, Microsoft, npm và Socket, đã xác nhận rằng không có gói nào do Vercel phát hành trên npm bị sửa đổi, và chuỗi cung ứng “vẫn an toàn.” Vercel duy trì các thư viện mã nguồn mở như Next.js, Turbopack và SWR trên npm, với tổng số lượt tải xuống hàng tháng lên tới hàng tỷ. Nếu một kẻ tấn công dùng tài khoản nhân viên để làm nhiễu các gói này, tác động sẽ vượt xa so với khách hàng của chính Vercel. Việc xác minh này đã loại bỏ rủi ro lớn nhất liên quan đến sự cố. Cùng ngày, thông báo an ninh chính thức đã được cập nhật với ba chi tiết. Phạm vi ảnh hưởng lần đầu tiên được làm rõ đến cấp độ lĩnh vực. Thông báo cho biết rằng thông tin bị rò rỉ gồm các biến môi trường của khách hàng không được đánh dấu là “nhạy cảm,” và đã được lưu trữ dưới dạng plaintext sau khi giải mã trong backend. Vercel vẫn đang điều tra xem liệu có thêm dữ liệu nào bị rò rỉ hay không. Trong số các khuyến nghị dành cho khách hàng, có thêm rằng “xóa dự án hoặc tài khoản Vercel không loại bỏ rủi ro.” Tất cả các khóa nhạy cảm chưa được đánh dấu phải được thay đổi trước khi xem xét xóa, vì các thông tin xác thực mà kẻ tấn công có được vẫn có thể kết nối trực tiếp tới hệ thống sản xuất. Về phía sản phẩm, giá trị mặc định đã được thay đổi. Các biến môi trường mới bây giờ được đặt là “nhạy cảm” (nhạy cảm: on) theo mặc định. Trước đây, đối với các tài khoản cũ, các biến mới thêm vào mặc định là loại thông thường và phải được kiểm tra thủ công để kích hoạt tính nhạy cảm. Đây là điểm truy cập trực tiếp để kẻ tấn công đọc các biến plaintext. Bảng điều khiển cũng đã ra mắt giao diện nhật ký hoạt động chi tiết hơn và quản lý biến môi trường cấp nhóm; trong tất cả các khuyến nghị về an ninh, “bật xác thực hai yếu tố” đã được ưu tiên.