2 triệu USD - con số mà nhóm hacker ShinyHunters đưa ra cho dữ liệu đánh cắp từ Vercel có thể chỉ là phần nổi của tảng băng chìm. Vercel, công ty tạo ra framework Next.js được sử dụng bởi hàng triệu nhà phát triển trên toàn thế giới, vừa xác nhận việc bị tấn công thành công. Đây là lần hiếm hoi một công ty công nghệ có tầm ảnh hưởng lớn đến cộng đồng lập trình viên toàn cầu phải thừa nhận việc bị đột nhập. Sự việc đặt ra câu hỏi lớn về độ tin cậy của các nền tảng phát triển ứng dụng web hiện đại.

ShinyHunters - Kẻ săn mồi trong bóng tối

ShinyHunters không phải cái tên xa lạ trong giới an ninh mạng. Nhóm hacker này từng gây ra những vụ tấn công gây chấn động như xâm nhập Microsoft Private GitHub repositories năm 2020, đánh cắp dữ liệu của hơn 10 triệu người dùng từ Tokopedia, hay cuộc tấn công vào Homechef ảnh hưởng đến 8 triệu tài khoản. Đặc điểm chung của ShinyHunters là chuyên nhắm vào các công ty công nghệ lớn và thường rao bán dữ liệu đánh cắp với mức giá khủng.

Vercel xác nhận sự việc sau khi ShinyHunters công khai thông tin trên các diễn đàn underground. Nhóm hacker tuyên bố đã chiếm được quyền truy cập vào hệ thống nội bộ của Vercel và thu thập được lượng lớn dữ liệu nhạy cảm. Chúng tôi cho rằng việc ShinyHunters chủ động công bố cuộc tấn công cho thấy mức độ tự tin cao về thành công của họ. Điều này cũng phản ánh xu hướng các nhóm hacker ngày càng táo bạo hơn trong việc khoe khoang chiến tích.

Cuộc tấn công vào trái tim của hệ sinh thái web

Next.js framework do Vercel phát triển đang được sử dụng bởi những tên tuổi lớn như Netflix, TikTok, Nike hay Twitch. Platform này xử lý hàng tỷ request mỗi ngày từ các ứng dụng web trên toàn cầu. Việc Vercel bị xâm nhập có thể để lại hậu quả nghiêm trọng hơn so với những vụ tấn công thông thường. Hacker có thể đã tiếp cận được source code (mã nguồn) của các dự án, thông tin xác thực API, hoặc thậm chí là khả năng chèn backdoor vào framework.

Theo phân tích của chúng tôi, đây không chỉ là vụ tấn công nhắm vào một công ty mà có thể là cuộc tấn công vào toàn bộ supply chain (chuỗi cung ứng phần mềm). Nếu ShinyHunters thực sự đã can thiệp vào quá trình phát triển Next.js, hàng triệu ứng dụng web đang vận hành có thể đối mặt với nguy cơ bảo mật tiềm ẩn. Đặc biệt, các doanh nghiệp Việt Nam đang sử dụng Next.js để xây dựng website và ứng dụng cần đặc biệt cảnh giác.

Tác động lan tỏa đến cộng đồng phát triển

Con số 2 triệu USD mà ShinyHunters định giá cho dữ liệu đánh cắp phản ánh giá trị thực sự của thông tin họ có trong tay. So với các vụ tấn công tương tự, mức giá này thuộc hàng cao nhất từng được ghi nhận. Để so sánh, dữ liệu LinkedIn bị đánh cắp năm 2021 chỉ được bán với giá khoảng 5.000 USD trên dark web. Sự chênh lệch này cho thấy tầm quan trọng chiến lược của Vercel trong hệ sinh thái công nghệ.

Tại Việt Nam, nhiều startup công nghệ và công ty phát triển phần mềm đang sử dụng Next.js làm nền tảng chính. Theo khảo sát không chính thức của chúng tôi, ít nhất 60% các dự án web hiện đại tại Việt Nam có sử dụng các công nghệ liên quan đến Vercel. Điều này có nghĩa hàng ngàn doanh nghiệp trong nước có thể bị ảnh hưởng gián tiếp từ sự việc này.

Lời khuyên bảo vệ khẩn cấp cho doanh nghiệp Việt

Các doanh nghiệp và lập trình viên Việt Nam cần thực hiện ngay các bước sau để giảm thiểu rủi ro. Đầu tiên, kiểm tra và thay đổi tất cả API keys, access tokens đang được sử dụng với Vercel platform. Thứ hai, rà soát lại các environment variables (biến môi trường) đã được cấu hình trên Vercel, đặc biệt là những thông tin liên quan đến database và dịch vụ bên thứ ba. Thứ ba, tạm thời chuyển sang chế độ giám sát chặt chẽ đối với các ứng dụng đang chạy trên Vercel.

Chúng tôi khuyến nghị các CTO và technical lead tại Việt Nam nên xem xét phương án backup deployment (triển khai dự phòng) trên các platform khác như AWS, Google Cloud hoặc các giải pháp self-hosted. Mặc dù Vercel chưa công bố chi tiết về phạm vi dữ liệu bị ảnh hưởng, việc chuẩn bị sẵn kế hoạch ứng phó sẽ giúp doanh nghiệp chủ động hơn trong trường hợp tình hình xấu đi. Đồng thời, đây cũng là lúc thích hợp để đánh giá lại toàn bộ security posture (tư thế bảo mật) của tổ chức.