Chỉ khi bạn nghĩ rằng vụ hack Vercel đã kết thúc, hãng công nghệ này lại thông báo phát hiện thêm một loạt tài khoản khách hàng bị xâm phạm trong sự cố liên quan đến Context.ai. Quyết định mở rộng điều tra đã đưa họ đến những phát hiện đáng lo ngại. Vercel cho biết họ đã rà soát thêm một bộ chỉ báo xâm nhập (compromise indicators) cùng với việc kiểm tra các yêu cầu đến mạng lưới và môi trường của mình. Đây là minh chứng rõ ràng rằng quy mô thực sự của cuộc tấn công vẫn đang được khám phá từng ngày.

Cuộc săn lùng흔적 tấn công tiếp diễn

Theo thông tin Vercel công bố, việc mở rộng phạm vi điều tra đã giúp họ phát hiện ra những tài khoản khách hàng bổ sung bị ảnh hưởng trong vụ việc. Compromise indicators - hay các dấu hiệu xâm phạm - là những manh mối kỹ thuật giúp chuyên gia an ninh mạng xác định xem hệ thống có bị tấn công hay không, bao gồm địa chỉ IP độc hại, hash file malware hoặc các hoạt động bất thường. Việc Vercel phải mở rộng bộ chỉ báo này cho thấy cuộc tấn công có thể phức tạp và tinh vi hơn nhiều so với đánh giá ban đầu.

Chúng tôi cho rằng quyết định rà soát lại toàn bộ các yêu cầu đến mạng lưới Vercel là một động thái đúng đắn nhưng cũng bộc lộ sự thiếu chuẩn bị trong khâu phòng thủ. Việc phát hiện thêm tài khoản bị xâm phạm sau khi đã kết luận điều tra ban đầu đặt ra câu hỏi về quy trình incident response (ứng phó sự cố) của công ty. Điều này cũng gợi lên lo ngại rằng vẫn còn nhiều nạn nhân chưa được phát hiện đang trong tình trạng bị xâm nhập mà không hay biết.

Context.ai - mắt xích yếu trong chuỗi cung ứng

Vụ hack Vercel bắt nguồn từ việc Context.ai - một startup AI chuyên phân tích dữ liệu - bị xâm nhập và trở thành bàn đạp để tấn công các dịch vụ khác. Supply chain attack (tấn công chuỗi cung ứng) như vậy đã trở thành xu hướng nguy hiểm trong làng cybersecurity, khi hacker nhắm vào những nhà cung cấp nhỏ hơn để tấn công các mục tiêu lớn. Context.ai với tư cách là đối tác của Vercel đã vô tình trở thành cửa ngõ để kẻ tấn công xâm nhập vào hệ thống internal của Vercel.

Theo đánh giá của chúng tôi, loại tấn công này đặc biệt nguy hiểm vì nó khai thác mối quan hệ tin tưởng giữa các tổ chức. Khi Context.ai bị xâm nhập, kẻ tấn công có thể sử dụng các quyền truy cập hợp pháp của công ty này để thâm nhập vào Vercel mà không kích hoạt các hệ thống cảnh báo. Đây chính là lý do tại sao nhiều vụ supply chain attack thường được phát hiện muộn và gây thiệt hại lớn. Trong trường hợp này, việc Vercel liên tục phát hiện thêm tài khoản bị ảnh hưởng chứng tỏ kẻ tấn công đã có thời gian dài để hoạt động trong hệ thống.

Tác động lan rộng đến cộng đồng developer

Vercel là nền tảng hosting và deployment phổ biến trong cộng đồng developer toàn cầu, đặc biệt với các dự án Next.js và React. Việc thêm nhiều tài khoản bị xâm phạm có nghĩa là hàng nghìn website và ứng dụng có thể đang trong tình trạng bị kiểm soát bởi kẻ tấn công. Các dự án này có thể bị sử dụng để phân phối malware, đánh cắp thông tin người dùng hoặc thực hiện các cuộc tấn công tiếp theo. Tại Việt Nam, nhiều startup công nghệ và các công ty outsourcing đang sử dụng Vercel cho các dự án khách hàng, khiến rủi ro an ninh mạng trở nên nghiêm trọng hơn.

Con số cụ thể về số lượng tài khoản bị ảnh hưởng chưa được Vercel công bố, nhưng việc phải mở rộng điều tra cho thấy quy mô không hề nhỏ. Chúng tôi ước tính có thể có hàng nghìn tài khoản và hàng chục nghìn dự án bị ảnh hưởng gián tiếp. Điều đáng lo ngại là nhiều developer có thể không nhận ra dự án của mình đã bị xâm nhập cho đến khi xuất hiện các dấu hiệu rõ ràng như website bị redirect hoặc dữ liệu khách hàng bị đánh cắp.

Biện pháp bảo vệ khẩn cấp cho developer Việt Nam

Các developer và doanh nghiệp Việt Nam đang sử dụng Vercel cần thực hiện ngay các bước sau: đầu tiên là thay đổi toàn bộ mật khẩu và API keys liên quan đến tài khoản Vercel, đặc biệt là các token được sử dụng trong CI/CD pipeline. Tiếp theo, kiểm tra kỹ lưỡng access logs và deployment history trong 30 ngày gần đây để phát hiện các hoạt động bất thường. Rà soát toàn bộ environment variables và secrets được lưu trữ trên nền tảng, đồng thời rotate tất cả các credentials này. Cuối cùng, kích hoạt two-factor authentication (2FA) nếu chưa có và thiết lập monitoring alerts cho các hoạt động đáng ngờ.

Chúng tôi khuyến nghị các doanh nghiệp nên cân nhắc tạm thời migrate các dự án quan trọng sang nền tảng khác hoặc self-hosting cho đến khi Vercel hoàn thành việc khắc phục sự cố. Đối với các dự án không thể di chuyển ngay lập tức, hãy thiết lập thêm lớp bảo vệ bằng WAF (Web Application Firewall) và CDN để giảm thiểu rủi ro. Việc backup định kỳ source code và database cũng cần được ưu tiên cao nhất. Đây là lời nhắc nhở quan trọng về việc không nên phụ thuộc hoàn toàn vào một nhà cung cấp dịch vụ cloud duy nhất, đặc biệt khi xử lý dữ liệu nhạy cảm của khách hàng.