Vercel کی کمزوری متاثرہ کریپٹو کرنسی ہولڈرز کے وسیع دائرے میں آتی ہے۔
اپریل 2026 Vercel سیکیورٹی کا واقعہ ماضی کے ابتدائی دعوؤں کو بڑھا رہا ہے۔ واقعہ، جس کے بارے میں کہا جاتا تھا کہ اس میں شامل ہے جسے ورسل نے "صارفین کے محدود ذیلی سیٹ" کے طور پر کہا ہے، اب یہ ایک وسیع تر ڈویلپر کمیونٹی کی طرف پھیل گیا ہے، خاص طور پر وہ لوگ جو AI ایجنٹ ورک فلو بنا رہے ہیں۔
19 اپریل کو اپنے حالیہ سیکیورٹی بلیٹن میں، جسے اس کی جاری تحقیقات کے بعد وقت کے ساتھ ساتھ اپ ڈیٹ کیا گیا ہے، Vercel کا دعویٰ ہے کہ جو ڈویلپرز تھرڈ پارٹی API کیز، LLM فراہم کنندہ کی اسناد، اور ٹول کالز کے پیک پر انحصار کرتے ہیں وہ اس طرح کے حملوں کے لیے زیادہ کھلے ہیں۔
خلاف ورزی کیسے ہوئی؟
صارف کی قیاس آرائیوں کے برعکس، ورسل داخلے کا ابتدائی نقطہ نہیں تھا۔ اس پر تب سمجھوتہ کیا گیا جب Context.ai کے حساس رسائی مراعات کے حامل ملازم کو Lumma Stealer میلویئر انفیکشن کے ذریعے خلاف ورزی کی گئی۔
خلاف ورزی اس وقت ہوئی جب ملازم نے روبلوکس آٹو فارم اسکرپٹ اور گیم ایکسپلائٹ ٹولز ڈاؤن لوڈ کیے، جو میلویئر کے پھیلاؤ کے بڑے طریقے ہیں۔ اس خلاف ورزی کی وجہ سے صارف کا ڈیٹا چوری ہوا، بشمول Google Workspace لاگ ان کی تفصیلات اور Supabase، Datadog اور Authkit جیسے پلیٹ فارمز تک رسائی کی دیگر کلیدیں۔
حملہ آور نے پھر Vercel کے Google Workspace اکاؤنٹ تک رسائی حاصل کرنے کے لیے چوری شدہ OAuth ٹوکن کا استعمال کیا۔ اگرچہ Vercel Context.ai صارف نہیں ہے، ان کے ایک ملازم کے پاس پلیٹ فارم کے ساتھ ایک اکاؤنٹ تھا، جو Vercel انٹرپرائز اکاؤنٹ کا استعمال کرتے ہوئے بنایا گیا تھا، اور سب سے بری بات یہ ہے کہ "سب کو اجازت دیں" کی اجازت کو منظور کر لیا تھا۔
چیزوں کو مزید خراب کرنے کے لیے، Vercel نے ان وسیع اجازتوں کو اپنے Google Workspace ماحول میں فعال کر دیا تھا، اور آسان رسائی فراہم کی تھی۔
ایک بار داخل ہونے کے بعد، حملہ آور سسٹم میں محفوظ غیر حساس ماحول کے متغیرات کو ڈکرپٹ کرنے کے لیے چلا گیا۔ تاہم، وہ حساس ڈیٹا تک رسائی حاصل کرنے سے قاصر تھے، کیونکہ Vercel کے پاس وہ ماحولیاتی متغیرات اس انداز میں محفوظ ہیں جو ان تک رسائی سے روکتا ہے۔
AI ایجنٹ ڈویلپرز کے لیے اس کا کیا مطلب ہے؟
ڈویلپرز کے لیے، تشویش اس سے زیادہ اثر کے دائرے میں ہے جو چوری کے طور پر ریکارڈ کی گئی تھی۔ زیادہ تر ڈویلپرز کو خدشہ ہے کہ ان کے ورک فلو، جو سادہ ماحول کے متغیرات میں اسناد کے ساتھ جڑے ہوئے ہیں، اس خلاف ورزی کا شکار ہو سکتے ہیں۔ اس کی وجہ یہ ہے کہ Vercel پر زیادہ تر ڈویلپرز عام طور پر اہم رسائی کیز کو اپنے تعیناتی ماحول میں اسٹور کرتے ہیں۔
مزید برآں، AI سے چلنے والے پروجیکٹس میں ایک OpenAI یا Anthropic API کلید، ایک ویکٹر ڈیٹا بیس کنکشن سٹرنگ، ایک ویب ہُک سیکریٹ، اور ایک ہی وقت میں ایک تھرڈ پارٹی ٹول ٹوکن ہو سکتا ہے، جنہیں سسٹم کے ذریعے حساس کے طور پر جھنڈا نہیں لگایا گیا ہے کیونکہ ان کے لیے ڈویلپر کو دستی طور پر ایسا کرنے کی ضرورت ہوتی ہے۔
اس واقعے سے لڑنے کے لیے، ورسل نے اپنی پروڈکٹ کو اپ ڈیٹ کیا ہے تاکہ تمام نئے بنائے گئے ماحولیاتی متغیرات کو بطور ڈیفالٹ حساس نشان زد کیا جائے اور صرف ڈویلپر ہی ان کو غیر حساس بنائے۔ اگرچہ ترقی ایک درست قدم ہے، لیکن یہ ان متغیرات کو پورا نہیں کرتا جو تبدیلی سے پہلے چوری ہو گئے تھے۔
حملہ کہاں تک جاتا ہے؟
ورسل کے مطابق، یہ حملہ کئی تنظیموں کے سینکڑوں صارفین کو متاثر کر سکتا ہے، نہ صرف اس کے اپنے سسٹمز، بلکہ پوری ٹیک انڈسٹری میں۔ اس کی وجہ یہ ہے کہ حملے میں استعمال ہونے والی OAuth ایپ صرف Vercel تک محدود نہیں تھی۔
حملے کے اثرات کو کم کرنے کے لیے، Vercel کی سیکیورٹی ٹیم نے سمجھوتہ شدہ OAuth ایپ کے منفرد شناخت کنندہ کا اشتراک کیا ہے، Google Workspace کے منتظمین اور Google اکاؤنٹ ہولڈرز پر زور دیا ہے کہ وہ چیک کریں کہ آیا اسے ان کے سسٹمز تک رسائی حاصل ہے۔
مزید برآں، Context.ai، Nudge Security CTO Jaime Blasco کی مدد سے، Google Drive تک رسائی پر مشتمل ایک اور OAuth اجازت گرانٹ کا بھی پتہ چلا۔ مزید اثرات کو روکنے کے لیے، Context.ai نے تمام متاثرہ صارفین کو فوری طور پر آگاہ کیا اور مزید خلاف ورزیوں کو روکنے کے لیے ضروری اقدامات فراہم کیے ہیں۔