微新创想:2026年4月20日,网页应用托管平台Vercel确认遭遇安全事件。此次事件中,攻击者利用一款被入侵的第三方AI工具,通过其谷歌云端工作区OAuth应用实施横向渗透,影响了少量客户。
微新创想:据初步调查,涉事黑客疑似属于名为ShinyHunters的组织。该组织已被发现在网上泄露了部分员工的姓名、邮箱以及操作时间戳等信息,引发了广泛关注。
微新创想:Vercel已发布安全公告,建议相关管理员立即核查操作日志,轮换API密钥与环境变量,并提供入侵指标(IOC)以协助客户进行安全排查。此举旨在帮助受影响的用户尽快识别潜在风险并采取应对措施。
微新创想:尽管此次事件未涉及Vercel的核心基础设施,但其影响范围较广,波及了数百家使用同款OAuth应用的机构。这表明第三方工具的安全性对整体系统安全具有重要影响。
微新创想:此次安全事件再次提醒企业,在使用第三方服务时,应加强对其安全性的评估与监控。同时,建立完善的应急响应机制,有助于在发生问题时迅速采取行动,减少损失。
