Vercel 疑遭未授权访问,自称 ShinyHunters 账号声称出售内部数据
安全研究人员披露,有账号声称持有 Vercel 内部数据并开价 200 万美元出售,涉及内容包括源代码、API 密钥及员工账号等,Vercel 官方已作出回应但尚未证实泄露事实。
慢雾首席信息安全官 23pds 于 4 月 19 日转推一则披露,指 Vercel 内部系统疑似遭到未经授权访问。一个自称 ShinyHunters 的账号随后声称正在出售所获数据,要价 200 万美元。
据该账号描述,出售内容涵盖内部数据库、访问密钥、源代码、员工账号(含内部部署权限)、API keys、NPM tokens 及 GitHub tokens,并声称上述数据可被用于发动全球供应链攻击。该账号还附上截图,显示内容涉及 Vercel 内部 Linear 系统及用户管理系统。
Vercel 旗下生态包含 Next.js、Turbo.js 等广泛使用的开源项目,其中 Next.js 周下载量据称达 600 万次,若供应链层面存在实际风险,潜在影响范围较广。
目前 Vercel 官方已通过 Telegram 联系该账号,要求停止骚扰员工,但官方尚未就数据泄露是否实际发生作出正式声明。
解读
此事件目前仍处于「声称阶段」,核心不确定性在于:数据是否真实存在、截图是否经过伪造、ShinyHunters 账号身份是否可信,均无法独立核实。值得关注的是,Vercel 选择通过 Telegram 直接联系该账号而非发布公开声明,这一处置方式本身也引发外界对事件严重程度的猜测。对于依赖 Next.js 或 Vercel 部署基础设施的开发者和项目方而言,在官方明确通报前,持续关注官方渠道动态是相对审慎的做法。
相关币种
- 未绑定币种