«Vercel» kompaniyasi (veb-xosting platformasi) o‘zining ichki tizimlariga ruxsatsiz kirish holati bo‘lib o‘tganini ma’lum qildi. Bu voqea kompaniyaning cheklangan miqdordagi mijozlariga ta’sir ko‘rsatgan.
Veb-xosting platformasi 19-aprel kuni xavfsizlik bo‘yicha axborot byulletenini e’lon qilib, barcha foydalanuvchilarni atrof-muhit (environment) o‘zgaruvchilarini hoziroq qayta tekshirishga chaqirdi.
«Vercel»da nima sodir bo‘ldi
«Vercel» kompaniyasining rasmiy bayonotiga ko‘ra, tajovuzkorlar ayrim ichki tizimlarga noqonuniy kirgan. Kompaniya hodisani o‘rganish uchun xavfsizlik bo‘yicha mutaxassislarni jalb qildi va huquqni muhofaza qiluvchi organlarga xabar berdi.
Dasturchi Teo Braun (Theo Browne) ham qo‘shimcha ma’lumotlar bilan o‘rtoqlashdi. Unga ko‘ra, asosan «Vercel» platformasining «Linear» (kompaniya, boshqaruv servis) va «GitHub» (dasturchilar ombori, kompaniya) integratsiyalari ushbu xurujdan eng ko‘p zarar ko‘rgan.
Biroq, platformada «maxfiy» deb belgilangan atrof-muhit o‘zgaruvchilari himoyalanganicha qolgan.
Maxfiy bo‘lmagan o‘zgaruvchilar xavfsizlik chorasi sifatida almashtirilishi kerak.
Ushbu buzilish usuli «Vercel»dan tashqari boshqa bir qancha kompaniyalarni ham nishonga olgan bo‘lishi mumkin. Tergov hali davom etayotgani bois, zarar ko‘rgan mijozlar to‘liq ro‘yxati ma’lum emas.
Nega kriptoloyihalar bunga e’tibor qaratishi kerak
Ko‘plab kriptovalyuta va «Web3» loyihalarining old yuzasi aynan «Vercel» platformasida ishga tushiriladi — hamyon bog‘lovchilaridan boshlab markazlashmagan ilova interfeyslariga qadar.
Loyihalar API kalitlari, maxfiy RPC nuqtalari yoki hamyonlarga oid sirlarni maxfiy o‘zgaruvchi sifatida saqlamasa, potensial ochiqlanish xavfi mavjud.
Ushbu buzilish blokcheyn yoki aqlli shartnoma (aqlli kelishuvlar)larga bevosita tahdid solmaydi, chunki ular frontend xostingdan mustaqil ishlaydi.
Lekin, zarar ko‘rgan akkauntlar uchun joylashtirish zanjirining buzilishi nazariy jihatdan kutilmagan tuzatish (buildga aralashuv)ga sabab bo‘lishi mumkin.
Hozircha bunday aralashuv bo‘lgani haqida dalillar aniqlanmadi.
«Vercel» platformasi barcha atrof-muhit o‘zgaruvchilarini qayta ko‘rib chiqishni va maxfiy o‘zgaruvchi funksiyasini yoqishni tavsiya qilmoqda.
Xavfsizlik mutaxassislari «Vercel»ga ulangan «GitHub» tokenlarini yangilash hamda so‘nggi build jurnallarida maxfiy ma’lumotlar qolgani-qolmaganini tekshirib chiqishni ham maslahat berishmoqda.
Ushbu hodisa markazlashtirilgan joylashtirish platformalari markazsiz sohalardagi xavflarni yana bir bor eslatib turadi.
