สรุปข่าว
- Vercel ยืนยันเมื่อวันที่ 19 เม.ย. 2569 ว่าถูกเข้าถึงระบบภายในโดยไม่ได้รับอนุญาต กระทบผู้ใช้บางส่วน
- ผู้โจมตีอ้างว่าเป็นกลุ่ม ShinyHunters เสนอขาย access keys, source code และ token บนเว็บไซต์ของแฮกเกอร์ พร้อมเรียกค่าไถ่ $2 ล้าน โดยต้นตอมาจากแอป AI ของบุคคลที่สามที่ใช้ Google Workspace OAuth
- Vercel แนะนำให้ผู้ใช้ทุกรายตรวจสอบ environment variables และเปลี่ยน secret ที่เกี่ยวข้องทันที โดยเฉพาะโปรเจกต์ Web3 ที่ใช้แพลตฟอร์มนี้
แนวโน้มผลกระทบต่อราคา Bearish
Vercel เป็นโครงสร้างพื้นฐานสำคัญที่โปรเจกต์ Web3 จำนวนมากพึ่งพา หาก access keys หรือ token ที่ถูกขโมยถูกนำไปใช้โจมตีโปรเจกต์คริปโตหรือ DeFi ที่ deploy อยู่บนแพลตฟอร์มนี้ อาจสร้างความเสียหายต่อระบบนิเวศโดยรวมและบั่นทอนความเชื่อมั่นของนักพัฒนาและนักลงทุน
เมื่อวันที่ 19 เม.ย. 2569 Vercel แพลตฟอร์ม cloud hosting ชั้นนำที่โปรเจกต์ Web3 จำนวนมากใช้งาน ยืนยันว่าเกิดเหตุการณ์ด้านความปลอดภัย โดยผู้ไม่ประสงค์ดีเข้าถึงระบบภายในบางส่วนได้โดยไม่ได้รับอนุญาต ตามรายงานจาก Coin Bureau ผู้โจมตีอ้างตัวว่าเป็นกลุ่ม ShinyHunters และได้โพสต์บนฟอรัมของแฮกเกอร์ว่าจะขายข้อมูลที่ได้มา ได้แก่ access keys, source code, NPM tokens และ GitHub tokens พร้อมเรียกค่าไถ่สูงถึง $2 ล้าน Vercel ระบุว่ากระทบผู้ใช้เพียงบางส่วน และกำลังติดต่อแจ้งลูกค้าที่ได้รับผลกระทบโดยตรง บริษัทได้ว่าจ้างผู้เชี่ยวชาญด้านการรับมือเหตุการณ์ (incident response) และแจ้งเรื่องต่อหน่วยงานบังคับใช้กฎหมายแล้ว
ต้นตอการโจมตีมาจากแอป AI บุคคลที่สาม
Vercel เปิดเผยว่าสาเหตุของเหตุการณ์ครั้งนี้มาจากแอป AI ของบุคคลที่สามซึ่งมีผู้ใช้งานหลายร้อยคน โดยแอปดังกล่าวใช้งาน Google Workspace OAuth และถูกบุกรุกจนนำไปสู่การเข้าถึงระบบภายในของ Vercel ได้ ขณะนี้บริษัทยังไม่ได้เปิดเผยชื่อแอปหรือรายชื่อลูกค้าที่ได้รับผลกระทบต่อสาธารณะ Vercel ยืนยันว่าบริการของแพลตฟอร์มยังคงทำงานได้ตามปกติ ไม่มีการหยุดให้บริการใด ๆ จากเหตุการณ์นี้
อย่างไรก็ตาม ผู้โจมตีที่อ้างตนเป็น ShinyHunters รายนี้เผชิญกับคำปฏิเสธจากกลุ่มที่เชื่อมโยงกับ ShinyHunters จริง ๆ ที่ออกมาปฏิเสธว่าไม่ได้มีส่วนเกี่ยวข้องกับการโจมตี Vercel ครั้งนี้ ทำให้ยังไม่สามารถระบุตัวผู้กระทำที่แท้จริงได้อย่างชัดเจน
สิ่งที่ผู้ใช้ Vercel ต้องทำทันที
Vercel แนะนำให้ผู้ใช้ทุกรายดำเนินการเชิงป้องกันดังนี้ ตรวจสอบ environment variables ในโปรเจกต์ของตน เปิดใช้งานฟีเจอร์ sensitive environment variable และเปลี่ยน secret หรือ token ที่เกี่ยวข้องทั้งหมด โดยเฉพาะอย่างยิ่งสำหรับโปรเจกต์ที่มีการเชื่อมต่อกับ GitHub หรือ NPM ซึ่งอาจเสี่ยงต่อการถูกนำ token ที่ถูกขโมยไปใช้โจมตีห่วงโซ่อุปทาน (supply chain) ในขั้นต่อไป
สำหรับโปรเจกต์ในระบบนิเวศ Web3 ความเสี่ยงอาจสูงกว่าปกติ เนื่องจาก access keys ที่หลุดออกไปอาจเปิดทางให้ผู้ไม่ประสงค์ดีแก้ไขโค้ดที่ deploy บน frontend ของแอปพลิเคชัน DeFi หรือเว็บไซต์คริปโต ซึ่งอาจนำไปสู่การโจมตีแบบเปลี่ยนที่อยู่กระเป๋าเงิน (address replacement attack) หรือการฝัง malicious script เพื่อขโมยเงินจากผู้ใช้ปลายทาง
ส่วนตัวผู้เขียนมองว่าเหตุการณ์นี้น่ากังวลกว่าที่หลายคนคิด เพราะ Vercel ไม่ใช่แค่ hosting ทั่วไป แต่เป็น frontend layer ของโปรเจกต์ Web3 ชื่อดังจำนวนมาก ถ้า token หรือ key ที่หลุดออกไปถูกนำไปใช้ฝังโค้ดอันตรายใน deploy pipeline จริง ผลลัพธ์อาจร้ายแรงถึงระดับที่ผู้ใช้สูญเสียเงินโดยไม่รู้ตัว สิ่งที่ต้องจับตาต่อจากนี้คือว่า Vercel จะเปิดเผยรายชื่อลูกค้าที่ได้รับผลกระทบหรือไม่ และจะมีโปรเจกต์ Web3 ไหนออกมายืนยันว่าตัวเองอยู่ในรายชื่อนั้น ถ้าคุณใช้ Vercel อยู่ ผมแนะนำให้ rotate credentials ทุกอย่างก่อนแล้วค่อยตามข่าวต่อ อย่ารอให้บริษัทติดต่อมาเอง
ที่มา: @coinbureau
ภาพจาก AI
