HackerNews 编译，转载请注明出处：

HackerNews 编译，转载请注明出处：

黑客在亚马逊生成式AI编程助手Amazon Q Developer的Visual Studio Code扩展中植入了数据擦除代码。

...

HackerNews 编译，转载请注明出处：

一种新的勒索软件活动正在利用亚马逊AWS的客户提供的密钥服务器端加密（SSE-C）功能加密S3存储桶，只有威胁行为者才知道解密密钥，并要求支付赎金以获取该密钥。

这一活动由Halcyon发现，据其报告，名为“Codefinger”的威胁行为者已至少对两名受害者进行了加密。然而，该行动可能会升级，或者很快会有更多威胁行为者采用这一战术。

亚马逊简单存储服务（S3）是亚马逊云服务（AWS）提供的一种可扩展、安全且高速的对象存储服务，而S3存储桶是用于存储文件、数据备份、媒体、日志等的云存储容器。

SSE-C是一种加密选项，用于确保S3静态数据的安全，允许客户使用自己的加密密钥，通过AES-256算法对数据进行加密和解密。AWS不存储该密钥，客户负责生成、管理和保护密钥。

在Codefinger的攻击中，威胁行为者使用被破解的AWS凭证，利用具有“s3:GetObject”和“s3:PutObject”权限的受害者密钥，定位到S3存储桶中的对象进行SSE-C加密。

然后，攻击者在本地生成一个加密密钥，对目标数据进行加密。

由于AWS不存储这些加密密钥，因此即使受害者向亚马逊报告了未经授权的活动，也无法在没有攻击者密钥的情况下恢复数据。

Halcyon解释道：“通过利用AWS原生服务，他们在不合作的情况下实现了既安全又无法恢复数据的加密。”

接下来，攻击者使用S3对象生命周期管理API设置了一个七天的文件删除策略，并在所有受影响的目录中放置了勒索信，指示受害者在给定的比特币地址上支付赎金以换取自定义的AES-256密钥。

勒索信还警告受害者，如果他们尝试更改账户权限或修改存储桶中的文件，攻击者将单方面终止谈判，使受害者无法恢复其数据。

Halcyon已将其发现报告给亚马逊，云服务提供商表示，他们会尽力及时通知密钥已泄露的客户，以便他们立即采取行动。

亚马逊还鼓励人们实施严格的安全协议，并按照以下步骤快速解决未经授权的AWS账户活动问题。

Halcyon还建议AWS客户设置限制性策略，以防止在其S3存储桶中使用SSE-C。

关于AWS密钥，应禁用未使用的密钥，频繁轮换活跃的密钥，并将账户权限保持在所需的最低级别。

...

亚马逊披露了一起数据泄露事件，据称在 2023 年 5 月的 MOVEit 攻击中被盗的信息暴露了员工数据。

...

美国联邦贸易委员会（FTC）对亚马逊旗下的Alexa语音助手和Ring（智能门铃）安全摄像头的一系列隐私问题累计罚款3080万美元。

...