Vercel, 해커가 도난 데이터를 판매한다는 주장에 따라 보안 침해를 확인

Source: Bleeping Computer

사고 개요

클라우드 개발 플랫폼 Vercel은 위협 행위자가 시스템을 침해했으며 도난된 데이터를 판매하려고 시도하고 있다고 주장한 후 보안 사고를 공개했습니다.

Vercel은 개발자를 위한 호스팅 및 배포 인프라를 제공하는 클라우드 플랫폼으로, JavaScript 프레임워크에 강력히 초점을 맞추고 있습니다. 이 회사는 널리 사용되는 React 프레임워크인 Next.js를 개발한 것으로 알려져 있으며, 서버리스 함수, 엣지 컴퓨팅, CI/CD 파이프라인 등 개발자가 애플리케이션을 구축·미리보기·배포할 수 있게 하는 서비스를 제공합니다.

오늘 발표된 보안 공지에서 회사는 제한된 일부 고객이 보안 침해의 영향을 받았다고 밝혔습니다.

“우리는 특정 내부 Vercel 시스템에 대한 무단 접근을 포함하는 보안 사고를 확인했습니다,” 라고 Vercel이 경고합니다(보안 공지).
”우리는 현재 적극적으로 조사 중이며, 조사 및 복구를 돕기 위해 사고 대응 전문가를 참여시켰습니다. 법 집행 기관에 통보했으며, 조사가 진행되는 대로 이 페이지를 업데이트할 예정입니다.”

회사는 서비스가 영향을 받지 않았으며, 영향을 받은 고객과 협력하고 있다고 밝혔습니다. Vercel은 고객에게 다음을 권고합니다:

• 환경 변수 검토
• 민감한 환경 변수 기능 사용
• 필요 시 비밀 키 교체

해커, 도난된 Vercel 데이터 판매 주장

이번 공개는 **“ShinyHunters”**라고 주장하는 위협 행위자가 해킹 포럼에 Vercel을 침해했으며 회사 데이터를 판매하고 있다고 게시한 뒤 이루어졌습니다.

해커가 ShinyHunters 그룹에 속한다고 주장하지만, 최근 ShinyHunters 강탈 조직과 연관된 공격에 연루된 위협 행위자들은 BleepingComputer에 이 사건에 관여하지 않았다고 부인했습니다.

포럼 게시물에서 해커는 다음을 판매한다고 주장했습니다:

• 접근 키
• 소스 코드
• Vercel에서 도난된 것으로 추정되는 데이터베이스 데이터
• 내부 배포 및 API 키 접근(일부 NPM 토큰 및 GitHub 토큰 포함)

“이것은 Linear에서 가져온 증거일 뿐이지만, 내가 곧 제공할 접근 권한에는 여러 직원 계정과 여러 내부 배포, API 키(일부 NPM 토큰 및 GitHub 토큰 포함)에 대한 접근이 포함됩니다,” 라고 포럼 게시물에 적혀 있습니다.

위협 행위자가 텔레그램에 공유한 포럼 게시물 스크린샷.

공격자는 또한 Vercel 직원 정보가 담긴 텍스트 파일(이름, Vercel 이메일 주소, 계정 상태, 활동 타임스탬프가 포함된 580건)과 내부 Vercel Enterprise 대시보드로 보이는 스크린샷을 공유했습니다. BleepingComputer은 해당 데이터나 스크린샷의 진위 여부를 독립적으로 확인하지 못했습니다.

텔레그램에 공유된 메시지에서 위협 행위자는 사건과 관련해 Vercel과 연락을 취했으며, 2백만 달러의 몸값을 요구했다고 주장했습니다.

BleepingComputer은 Vercel에 추가 질문을 전달했으며, 여기에는 민감한 데이터나 자격 증명이 노출되었는지, 공격자와 협상이 진행 중인지 여부가 포함됩니다. 답변이 들어오는 대로 이 이야기를 업데이트할 예정입니다.