버셀(Vercel)에서 메일이 와서 봤더니 보안 사고 공지 네요. 

내부 시스템 일부에 무단 접근 있었고, 일부 고객군의 자격 증명이 유출됐답니다. 

유출 영향 받은 고객한테는 따로 고지를 했다고 하니 별다른 연락 안받으신 분들은 일단은 문제는 없다고 보셔도 될거 같습니다.

 근데 전체 공지 받았으면 예방 차원에서 환경 변수 한 번 훑어보고 민감한 건 'sensitive' 플래그 걸어두시는 게 좋을거 같습니다.

침투 경로는 버셀 직원 한 명이 업무에 쓰던 Context.ai라는 AI 툴이 먼저 털렸고, 해커가 그 구글 워크스페이스 OAuth 권한 타고 들어가서 직원 구글 계정 장악, 거기서 버셀 내부로 넘어갔답니다. 

'sensitive' 안 걸어둔 환경 변수들은 열람당했고, 다행히 'sensitive' 지정된 건 암호화 경로라 안 털렸다고. 

Next.js랑 Turbopack 오픈소스 릴리스도 감사 결과 깨끗하답니다. 

다크웹에선 자칭 ShinyHunters가 내부 계정이랑 NPM·깃허브 토큰 200만 달러에 판다고 올렸는데, 기존 ShinyHunters는 자기들 아니라고 선 그었다네요.

근데 버셀 고객들중 상당수가 딸깍 해서 업로드한 이용자들인데 보안공지에 권고사항을 잘 따를수나 있을려나요.