Nền tảng phát triển đám mây Vercel vừa chính thức xác nhận một sự cố an ninh nghiêm trọng sau khi các hacker đã xâm nhập hệ thống và rao bán các dữ liệu nhạy cảm. Bằng cách khai thác lỗ hổng từ công cụ AI bên thứ ba, kẻ tấn công đã leo thang đặc quyền để tiếp cận các biến môi trường của khách hàng, đe dọa tính bảo mật của các quy trình triển khai phần mềm trên nền tảng này.

Sự việc bắt đầu lan truyền khi nhóm tin tặc tự xưng là “ShinyHunters” đăng tải bằng chứng xâm nhập trên các diễn đàn ngầm. Mặc dù đại diện nhóm ShinyHunters truyền thống phủ nhận sự liên quan, kẻ tấn công đã đưa ra danh sách gồm 580 bản ghi dữ liệu nhân viên, mã nguồn, khóa truy cập và các token quan trọng (NPM, GitHub) để làm bằng chứng cho vụ truy cập trái phép.

Theo phân tích từ Vercel và các thông tin được CEO Guillermo Rauch công bố, chuỗi tấn công được thực hiện qua các giai đoạn tinh vi:

  • Xâm nhập điểm đầu qua OAuth: Kẻ tấn công không trực tiếp tấn công vào hạ tầng của Vercel mà khai thác lỗ hổng tại nền tảng AI Context.ai. Chúng đã chiếm quyền điều khiển ứng dụng Google Workspace OAuth của công cụ này, từ đó xâm nhập thành công vào tài khoản nhân viên của Vercel.
  • Leo thang đặc quyền và Liệt kê biến: Từ tài khoản nhân viên bị chiếm đoạt, tin tặc thực hiện leo thang đặc quyền vào các môi trường quản trị của Vercel. Tại đây, chúng khai thác cơ chế phân loại dữ liệu của hệ thống để nhắm vào các biến môi trường được người dùng đánh dấu là “non-sensitive”.
  • Khai thác dữ liệu không mã hóa: Trong khi các biến nhạy cảm được Vercel mã hóa hoàn toàn khi lưu trữ, các biến “không nhạy cảm” lại tồn tại dưới dạng văn bản thuần túy. Kẻ tấn công đã thực hiện kỹ thuật liệt kê để trích xuất các thông tin này, từ đó tìm ra các sơ hở để tiến sâu hơn vào hệ thống và thu thập các khóa API cùng dữ liệu triển khai nội bộ.
  • Chiếm đoạt tài nguyên và tống tiền: Mục tiêu cuối cùng của nhóm tấn công là kiểm soát các tài nguyên quan trọng để thực hiện hành vi tống tiền. Các báo cáo cho thấy tin tặc đã đưa ra yêu cầu tiền chuộc lên tới 2 triệu USD nhằm đổi lấy việc không phát tán các dữ liệu đã đánh cắp.

Hiện tại, Vercel đã thông báo mức độ rò rỉ của dữ liệu nhạy cảm cũng như tình trạng đàm phán với nhóm tin tặc, đồng thời sẽ cập nhật thông tin ngay khi nhận được phản hồi chính thức:

  • Cập nhật lúc 18:14 (giờ ET) ngày 19/04/2026: Cập nhật bài viết với thông tin bổ sung do Vercel công bố.
  • Cập nhật lúc 19:21 (giờ ET) ngày 19/04/2026: Cập nhật bài viết với thông tin chi tiết từ CEO của Vercel.

Khuyến cáo từ chuyên gia bảo mật

Để ứng phó với rủi ro từ vụ rò rỉ và ngăn chặn các cuộc tấn công leo thang đặc quyền tương tự, các tổ chức và nhà phát triển đang sử dụng Vercel cần thực hiện ngay các biện pháp sau:

  • Rà soát và Phân loại lại biến môi trường:
    • Kiểm tra toàn bộ các biến môi trường hiện có trên Dashboard của Vercel. Đảm bảo tất cả các thông tin định danh, khóa API, hoặc thông tin cấu hình hệ thống đều phải được chuyển sang chế độ “Sensitive” để kích hoạt cơ chế mã hóa khi lưu trữ.
    • Sử dụng tính năng quản lý biến môi trường nhạy cảm mới được Vercel cập nhật để tăng cường lớp bảo mật.
  • Quản lý danh tính và Quyền truy cập (IAM):
    • Thực hiện xoay vòng toàn bộ các khóa bí mật, token GitHub, và token NPM đã được cấu hình trong các dự án trên Vercel để vô hiệu hóa bất kỳ thông tin nào có thể đã bị kẻ tấn công thu thập.
    • Kiểm tra lại danh sách các ứng dụng OAuth của bên thứ ba được cấp quyền truy cập vào Google Workspace của tổ chức, đặc biệt là ứng dụng có ID: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com.
  • Thắt chặt bảo mật tài khoản nhân viên:
    • Áp dụng chính sách xác thực đa yếu tố (MFA) nghiêm ngặt cho tất cả các tài khoản truy cập vào hệ thống phát triển và hạ tầng đám mây.
    • Giám sát chặt chẽ các hoạt động đăng nhập bất thường hoặc các lệnh liệt kê tài nguyên hệ thống phát sinh từ các tài khoản nội bộ.
  • Xây dựng chiến lược Phòng thủ chuyên sâu (Defense-in-depth):
    • Không lưu trữ các thông tin quan trọng dưới dạng biến “non-sensitive” ngay cả khi chúng có vẻ vô hại, nhằm triệt tiêu khả năng khai thác từ các cuộc tấn công leo thang.
    • Thường xuyên cập nhật và theo dõi các bản tin an ninh từ nhà cung cấp dịch vụ để phản ứng kịp thời với các lỗ hổng từ chuỗi cung ứng bên thứ ba.

Nguồn: Bleeping Computer