أكدت Vercel، المنصة الشهيرة لاستضافة تطبيقات الويب، تعرضها لخرق أمني أدى لتسريب بيانات غير حساسة لبعض عملائها. الخرق بدأ من اختراق أداة ذكاء اصطناعي تابعة لشركة Context.ai، وهي أداة كان يستخدمها أحد موظفي Vercel، مما سمح للمخترقين بالسيطرة على حساب الموظف في Google Workspace والوصول إلى بيئات عمل معينة تحتوي على environment variables لم يتم تصنيفها كـ "sensitive". وبحسب الشركة، تأثر عدد محدود من العملاء، وتم إبلاغهم بضرورة تغيير بيانات الاعتماد (credentials) فوراً.
بدأ اكتشاف الاختراق خلال عطلة نهاية الأسبوع، حيث رصدت Vercel وصولاً غير مصرح به لأنظمتها الداخلية يوم السبت. ووفقاً لما ذكرته TechCrunch، استغل المهاجمون ثغرة Context.ai للتسلل إلى Vercel وسرقة بيانات مثل environment variables التي قد تشمل API keys، وtokens المصادقة، وبيانات قواعد البيانات، أو signing keys، لكن الاكتشاف اقتصر على تلك غير المصنفة كبيانات حساسة. وأشارت TechRadar إلى أن Vercel تخزن هذه المتغيرات مشفرة (encrypted at rest)، لكن المخترقين استطاعوا حصر المتغيرات غير المحمية للوصول إلى بيانات أعمق، وهو ما يسلط الضوء على هشاشة "سلاسل التوريد" (supply chain) عند استخدام أدوات خارجية.
لم يتأخر المخترقون في التباهي بما حصلوا عليه؛ فقبل يوم واحد من إعلان Vercel، عرض أحد المهاجمين بيانات مسروقة للبيع على منتدى في "الويب المظلم". تضمنت البيانات ملفاً نصياً يحتوي على 580 سجلاً لمعلومات الموظفين، مثل الأسماء، وبريدهم الإلكتروني، وحالات الحسابات، وتوقيتات النشاط، وفقاً لما كشفته BleepingComputer. كما نشر المهاجم لقطات شاشة لما يبدو أنه لوحة تحكم داخلية (Enterprise dashboard)، مطالباً بمبلغ 2 مليون دولار مقابل مسح الملفات وعدم تسريبها. ورغم عدم وجود تأكيد مستقل لصحة هذه البيانات، ادعى المهاجم وجود مفاوضات جارية مع Vercel عبر Telegram بشأن الفدية.
تعاملت Vercel مع الحادثة بجدية بالغة، حيث استعانت بخبراء شركة Mandiant للتحقيق، وأبلغت الجهات الأمنية، وفعلت إجراءات مراقبة وحماية إضافية. وأكدت الشركة أن الخدمات الأساسية (Core services) تعمل بشكل كامل ولم تتأثر بالحادثة. ووصف Guillermo Rauch، الرئيس التنفيذي للشركة، المهاجم بأنه "متطور للغاية"، مشيراً إلى أن طبقات الحماية المتعددة (defense-in-depth) ساعدت في تقليص نطاق الخرق بشكل كبير.
تعيد هذه الواقعة تسليط الضوء على المخاطر المتزايدة لهجمات supply chain attacks التي تستهدف مزودي خدمات السحاب؛ حيث يمكن لثغرة في أداة متخصصة مثل Context.ai أن تتسبب في أزمة للمنصات الكبرى. وبالنسبة للمطورين والشركات التي تعتمد على Vercel —خاصة من يستضيفون تطبيقات Next.js— فإن انكشاف المتغيرات قد يمنح وصولاً غير مصرح به لخدماتهم المرتبطة. لذا، يظل تغيير بيانات الاعتماد أولوية للعملاء المتأثرين، بينما يجب على الآخرين مراقبة أي نشاط مريب.
تواصل Vercel حالياً تحقيقاتها للتأكد من عدم وجود بيانات مسربة إضافية، مع وعد بنشر مستجدات دورية. ورغم أن الشركة لم تكشف عن العدد الإجمالي للعملاء المتأثرين، إلا أن حديثها عن "مجموعة محدودة" يشير إلى احتواء الأزمة. ويبقى هذا الدرس تذكيراً قوياً لكل العاملين في قطاع التقنية بضرورة التدقيق في الأدوات الخارجية وتصنيف البيانات الحساسة بدقة، خاصة وأن حوادث مشابهة ضربت منصات استضافة الأكواد وخدمات الذكاء الاصطناعي في السنوات الأخيرة.