Ngày phát hành lần đầu: 13/01/2022 13:00 theo giờ PST
Gần đây, một nhà nghiên cứu bảo mật đã báo cáo một sự cố cho phép họ thực hiện hành động dưới tên dịch vụ AWS Glue. Bằng một tính năng của AWS Glue, nhà nghiên cứu đã thu thập được thông tin xác thực của riêng dịch vụ này và một sai sót cấu hình trong nội bộ AWS đã cho phép nhà nghiên cứu sử dụng các thông tin xác thực này dưới tên dịch vụ AWS Glue. Việc này không thể ảnh hưởng đến những khách hàng không sử dụng dịch vụ AWS Glue.
Khách hàng sẽ không phải thực hiện hành động nào.
Khi nhận được báo cáo, AWS đã ngay lập tức tiến hành khắc phục sự cố này. Chúng tôi đã phân tích các nhật ký từ khi triển khai dịch vụ và đi đến kết luận rằng hoạt động duy nhất liên quan đến sự cố này diễn ra giữa các tài khoản của nhà nghiên cứu. Không có tài khoản nào khác của khách hàng bị ảnh hưởng. Mọi hành động do AWS Glue thực hiện trong tài khoản của một khách hàng được ghi nhật ký trong bản ghi CloudTrail mà khách hàng có thể xem và kiểm soát.
Chúng tôi rất cảm ơn Orca Security đã báo cáo sự cố này.
Bạn có thể gửi thắc mắc hoặc mối lo ngại liên quan đến bảo mật cho chúng tôi theo địa chỉ aws-security@amazon.com.