Amazon успокоила клиентов своих "облачных" сервисов

Николай Головко 02 Ноября 2011 - 06:53

...

Причина для беспокойства у пользователей Amazon Web Services появилась на прошлой неделе, когда команда исследователей из Рурского университета объявила о наличии уязвимостей в системах защиты этой платформы. В ответном слове Amazon проясняет ситуацию и подчеркивает, что изъяны являлись не слишком опасными.

Согласно исследованиям немецких специалистов, теоретически внутренние механизмы "облачной" платформы Amazon и программной среды с открытым кодом Eucalyptus (которая также используется для построения закрытых систем распределенных вычислений) позволяли потенциальным взломщикам посылать ложные команды от имени администратора - например, останавливать работу виртуальных машин или манипулировать объектами файловой системы. В случае с Amazon проблема была вызвана тем, что интерфейс SOAP раздельно выполнял операции по верификации подписей приложений и по интерпретации XML. Кроме того, ученые обнаружили возможность межсайтового исполнения сценариев при взаимодействии интерфейса AWS с магазином Amazon, злонамеренное использование которой могло привести к запуску вредоносного кода.

Команда исследователей опубликовала данные об уязвимостях после того, как Amazon и Eucalyptus внесли требуемые корректировки и закрыли потенциальные изъяны. Через некоторое время Amazon выпустила свой комментарий по поводу инцидента, разъяснив некоторые неоднозначные моменты и уверив пользователей в том, что ошибки безопасности не представляли сколь-либо существенной угрозы. По словам представителей компании, никто из ее клиентов не успел пострадать от эксплуатации этих уязвимостей, а главное - на пути практической реализации их вредоносного потенциала стояли другие защитные механизмы.

В бюллетене Amazon, в частности, говорится, что потенциальный изъян в AWS был актуален лишь для небольшого количества API-вызовов, при обработке которых не используется шифрование, и не являлся широко распространенной уязвимостью, как предполагалось изначально; кроме того, те пользователи, которые в полном объеме задействовали арсенал защитных методов и приемов AWS, вообще могли не опасаться этой ошибки безопасности. Компания также подчеркнула, что активно и регулярно сотрудничает со специалистами по защите данных, и рассматриваемый случай не был исключением - так что уязвимости были исправлены со всей возможной оперативностью, и теперь пользователям ничто не угрожает.

The Register

Письмо автору

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 03 Сентября 2025 - 20:29

Мошенничество Дипфейк (Deepfake)Онлайн-мошенничество Домашние пользователи

Петербургскую пенсионерку обманули от имени немецкого тенора

В Санкт-Петербурге в полицию обратилась 69-летняя жительница города, ставшая жертвой мошенничества. Неизвестный, представившийся немецким оперным певцом Йонасом Кауфманом, убедил её заплатить почти 200 тыс. рублей якобы за «таможенную пошлину» при получении крупного денежного перевода.

О данном инциденте написала «Фонтанка». Злоумышленник сообщил женщине, что перевёл ей 400 тыс. евро, однако для получения этих средств необходимо оплатить около 200 тыс. рублей пошлины. Это требование пенсионерка выполнила.

После этого мошенники перестали выходить на связь. Спустя четыре дня женщина поняла, что её обманули, и обратилась в полицию. Уголовное дело пока не возбуждено.

Подобные схемы нередко применяют аферисты на сервисах онлайн-знакомств. Традиционная легенда заключается в выманивании денег на разные «неотложные нужды». В последний год мошенники активно начали использовать дипфейки, а пик их активности приходится на гендерные праздники.

Постепенно меняются и сами схемы. Так, нынешним летом распространение получило вовлечение жертв в криптоскам.