Amazon Q mette a rischio casi di cancellazione account per quasi 1 milione di utenti

Avatar Luca Arnaldi

WRITTEN BY

POSTED

COMMENTS

0 Comments

Recentemente, Amazon ha affrontato un grave problema di sicurezza riguardante il suo assistente alla programmazione basato su intelligenza artificiale, Amazon Q. Un hacker è riuscito a inserire del codice dannoso nella pagina GitHub dello strumento, utilizzata per gestire i file open-source. Questo codice è stato aggiunto tramite una pull request apparentemente normale, che gli sviluppatori usano per proporre modifiche.

codice malevolo e conseguenze

Dopo l’accettazione della pull request, le istruzioni inserite avrebbero potuto far ripristinare il sistema dell’utente alle impostazioni di fabbrica, eliminando anche file e risorse cloud associate all’account AWS. Il contenuto del codice prevedeva operazioni distruttive mirate a compromettere gravemente i sistemi degli utenti.

versione compromessa diffusa ampiamente

Il codice dannoso era presente nella versione 1.84.0 dell’estensione Amazon Q per Visual Studio Code, rilasciata pubblicamente il 17 luglio e scaricata da quasi un milione di utenti. Inizialmente, Amazon non si era accorta del problema e ha rimosso la versione solo dopo che si era già diffusa.

l’intento dell’hacker

L’autore dell’attacco ha dichiarato a 404 Media che il codice non era destinato a causare danni reali; piuttosto, voleva evidenziare la debolezza della sicurezza di Amazon. Ha descritto le difese della compagnia come una “vetrina di sicurezza” che appare efficace dall’esterno ma presenta gravi lacune in pratica.

critiche ai controlli sul codice

Secondo Steven Vaughan-Nichols di ZDNet, il problema non risiede negli strumenti open-source in sé, ma nella gestione che Amazon ne fa. La compagnia ha fallito nel verificare adeguatamente il codice prima della sua accettazione; controlli più rigorosi avrebbero potuto prevenire la diffusione dell’anomalia.

risposta di amazon e misure correttive

Amazon ha affermato che il codice malevolo non è mai stato eseguito grazie alla sua struttura. Sono state intraprese azioni correttive: è stata rimossa la porzione compromessa di codice e annullato l’accesso dell’hacker. È stata inoltre rilasciata una nuova versione corretta (1.85.0), con inviti agli utenti ad aggiornarsi al più presto. L’azienda ha garantito che nessun dato cliente sia stato compromesso e ha ribadito l’importanza della sicurezza come priorità assoluta.

  • Amazon Q
  • Visual Studio Code
  • AWS (Amazon Web Services)
  • Steven Vaughan-Nichols (ZDNet)
  • 404 Media (intervista all’hacker)

Print

Continue reading

NEXT

Le previsioni meteo di pixel weather ora disponibili per tutti i dispositivi

introduzione al nuovo aggiornamento dell’app meteo di google Il lancio della serie Pixel 9 ha portato con sé diverse novità, tra cui un’innovativa app meteo che ha suscitato grande interesse tra gli utenti. Questo articolo esplora le funzionalità più apprezzate […]
PREVIOUS

Samsung TV Plus collabora con Dhar Mann e altri creatori popolari per nuovi contenuti

Samsung TV Plus ha avviato una collaborazione con Dhar Mann Studios per la realizzazione di 13 episodi esclusivi. La piattaforma di streaming prevede anche l’introduzione di canali dedicati a creatori, tra cui contenuti di Mark Rober, Michelle Khare e altri. […]

Potrebbero interessarti

Commenti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

I più popolari

Di tendenza

Per guestpost o linkbuilding scrivi a [email protected]