มีรายงานจากนักพัฒนาแสดงอีเมลจากอเมซอน แจ้งว่านักพัฒนานำกุญแจลับสำหรับควบคุม API ของ AWS ไปใส่ไว้ในแอพพลิเคชั่น การที่อเมซอนจะรู้ได้ว่ามีกุญแจของ AWS อยู่ในแอพพลิเคชั่นแสดงว่าต้องมีการไล่ดีคอมไพล์โค้ดของแอพพลิเคชั่นมาตรวจสอบ
อย่างไรก็ดีการทำกุญแจลับของ AWS ไปวางไว้ในแอพพลิเคชั่นนับเป็นความเลินเล่ออย่างร้ายแรง แฮกเกอร์ที่มุ่งร้ายสามารถดึงกุญแจออกมาได้เช่นเดียวกับทางอเมซอนเอง หากกุญแจเหล่านี้ตกไปอยู่ในมือแฮกเกอร์อาจจะทำสร้างเซิร์ฟเวอร์บนอเมซอนเพื่อใช้โจมตีเหยื่ออื่นๆ ต่อไปโดยใช้บัญชีของนักพัฒนา
ก่อนหน้านี้เคยมีรายงานกุญแจลับ AWS ถูกโพสไว้บน GitHub จำนวนมาก
ที่มา - The Register, Raj Bala
Comments
กำลังสงสัยว่าตามปกติ เราผู้พัฒนาจะมี access key กับ secret key เพื่อเอาไว้ขอ session token
เพียงแต่กระบวนการขอ session token มันควรทำบนเซอเวอร์ของผู้พัฒนา ไม่น่าทำบนมือถือ แล้วแค่ Amazon จับ IP ตอนขอ session token ว่ามันมีจำนวน IP เยอะๆ กว้างๆ ก็ไม่น่าจะเป็นมาจาก server แหล่งเดียว
ผมว่ามันดูคล้ายๆ Raj Bala เขาคิดไปเองหรือเปล่าว่าโปรแกรมเขาถูกแกะ?
มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB
อาจจะทำสร้าง ?