Vercel xác nhận gặp sự cố bảo mật. Ảnh minh hoạ.

Xâm nhập qua dịch vụ AI: Khi quyền truy cập hợp lệ trở thành "cửa ngõ"

Ngày 20/4, nền tảng điện toán đám mây Vercel xác nhận đã xảy ra một sự cố bảo mật liên quan đến hệ thống nội bộ, làm dấy lên lo ngại trong cộng đồng công nghệ và tiền mã hóa.

Theo thông tin công bố, tài khoản Google Workspace của một nhân viên đã bị xâm nhập thông qua nền tảng AI Context.ai. Nguyên nhân được cho là liên quan đến việc lộ token xác thực (OAuth) từ phía dịch vụ này.

Trong vụ việc này, tin tặc tận dụng chính quyền truy cập hợp lệ đã được cấp trước đó để đăng nhập vào hệ thống. Điều này khiến hoạt động xâm nhập khó bị phát hiện, bởi nó không tạo ra các dấu hiệu bất thường rõ rệt.

Sau khi kiểm soát tài khoản, tin tặc tiến hành mở rộng quyền truy cập theo chiều ngang (lateral movement), tiếp cận các hệ thống nội bộ, môi trường triển khai (deployment environment) và một số biến môi trường - những thành phần có thể chứa thông tin nhạy cảm như khóa truy cập hoặc cấu hình dịch vụ.

Nhóm hacker tự xưng ShinyHunters sau đó tuyên bố đứng sau vụ việc, đồng thời rao bán dữ liệu đánh cắp trên các diễn đàn ngầm với mức giá lên tới 2 triệu USD. Đây là mô hình tấn công kết hợp giữa xâm nhập hệ thống và tống tiền, ngày càng phổ biến trong các chiến dịch tội phạm mạng hiện nay.

Thông báo rao bán dữ liệu đánh cắp từ Vercel của nhóm tin tặc tự xưng ShinyHunters.

“Điểm trung gian rủi ro”: Vì sao sự cố Vercel ảnh hưởng đến tiền mã hóa?

Vercel là nền tảng giúp vận hành website trên điện toán đám mây một cách tự động mà không cần quản lý máy chủ phức tạp. Đây cũng chính là đơn vị phát triển Next.js - một công cụ hỗ trợ lập trình viên xây dựng giao diện web cực kỳ phổ biến. 

Trong hệ sinh thái Web3, Vercel thường được sử dụng để vận hành lớp giao diện (frontend), nơi người dùng trực tiếp truy cập, kết nối ví và thực hiện giao dịch blockchain. Điều này khiến nền tảng nắm giữ vai trò trung gian then chốt giữa người dùng và hệ thống phức tạp phía sau.

Đáng chú ý, trong vụ việc lần này, tin tặc được cho là đã truy cập vào một số thông tin cấu hình, token và dữ liệu nội bộ. Dù công ty khẳng định các dữ liệu nhạy cảm được mã hóa không bị ảnh hưởng và phạm vi tác động chỉ giới hạn ở một nhóm nhỏ khách hàng, nguy cơ khai thác thứ cấp vẫn hiện hữu nếu các thông tin bị lộ được sử dụng để thực hiện các cuộc tấn công tiếp theo.

Một khi kiểm soát được quy trình cập nhật website (deploy), tin tặc có khả năng cài cắm mã độc trực tiếp vào trang web đang hoạt động. Điều này tạo ra một cái bẫy cực kỳ tinh vi: người dùng vẫn truy cập đúng tên miền, giao diện nhìn bề ngoài không có gì thay đổi, nhưng thực chất các lệnh xử lý ngầm bên dưới, đặc biệt là thao tác ký duyệt giao dịch đã bị kẻ tấn công thao túng hoàn toàn.

Trong bối cảnh Web3, điều này có thể dẫn đến việc thay đổi địa chỉ ví nhận tiền hoặc nội dung giao dịch mà người dùng không nhận ra. Tài sản có thể bị chuyển đi ngay cả khi người dùng tin rằng họ đang tương tác với một nền tảng hợp pháp.

Khác biệt hoàn toàn với các hình thức lừa đảo (phishing) truyền thống, những công cụ bảo mật vốn chỉ dựa trên việc kiểm tra tên miền hay danh sách đen (blacklist) gần như "vô tác dụng" trước thủ đoạn này. Bởi lẽ, khi website bị tấn công lại chính là trang web thật, mọi hàng rào kiểm soát địa chỉ đều sẽ trả về kết quả an toàn, khiến người dùng hoàn toàn mất cảnh giác.

Dù Vercel cho biết các hệ thống cốt lõi vẫn an toàn và đã triển khai các biện pháp khắc phục, giới chuyên gia cảnh báo rằng rủi ro tiềm ẩn vẫn còn, đặc biệt trong các hệ thống phụ thuộc nhiều vào bên thứ ba. Trong bối cảnh đó, việc siết chặt quản lý quyền truy cập, đánh giá lại các tích hợp và áp dụng mô hình "zero trust" đang trở thành yêu cầu cấp thiết đối với các doanh nghiệp công nghệ.

Sự cố xảy ra với Vercel được xem là minh chứng rõ nét cho hình thức tấn công chuỗi cung ứng (Supply chain attack), khi tin tặc không tấn công trực tiếp vào mục tiêu chính mà khai thác các dịch vụ trung gian đáng tin cậy. Trong vụ việc này, một công cụ AI tưởng chừng vô hại lại trở thành điểm xâm nhập, cho thấy thách thức lớn trong việc kiểm soát quyền truy cập và quản lý danh tính trong hệ thống hiện đại. 

Thuý Hằng