Hatalmas botrány: hacker támadta meg az Amazon MI-fejlesztői bővítményét!
Egy hackernek sikerült bejutnia az Amazon generatív MI-alapú fejlesztői asszisztensébe, a Q Developer Extension for Visual Studio Code bővítménybe, és olyan kódot elhelyeznie, amely az adatok törlését, valamint a rendszer gyári beállításokra való visszaállítását célozta. Az Amazon Q egy ingyenes bővítmény, amely MI-t használva segíti a fejlesztőket a kódolásban, hibakeresésben, dokumentációk készítésében és egyedi konfigurációk beállításában.
Hogyan történt a támadás?
A hackernek „lkmanka58” álnéven sikerült bejuttatnia a hibás törlőkódot az Amazon Q Github-tárolójába, valószínűleg hibás jelszókezelés vagy jogosultsági beállítás miatt. Az Amazon erről mit sem sejtve július 17-én publikálta az 1.84.0-s sérült verziót a Visual Studio Code piacterén, így az minden felhasználó számára elérhetővé vált. Külön említést érdemel, hogy a hacker pull requesten keresztül szerzett hozzáférést.
A válaszlépések és következmények
Július 23-án érkeztek az első kutatói jelentések arról, hogy valami nincs rendben a bővítménnyel, ekkor kezdte vizsgálni az esetet az Amazon. Másnapra elkészült a javított 1.85.0-s kiadás, melyből eltávolították az illetéktelen kódot, valamint visszavonták és cserélték a hozzáféréseket az érintett tárolókban. Mindazonáltal az Amazon szerint a rosszindulatú kód hibásan volt formázva, ezért nem tudott lefutni a felhasználók gépein – bár egyesek szerint a kód így is aktiválódott, de kárt nem okozott.
A fentiek tükrében mindenki, aki az 1.84.0-s verziót használja, azonnal frissítsen 1.85.0-ra, mivel az előző verziót már visszavonták és eltávolították minden terjesztési csatornáról. Az Amazon hangsúlyozza, hogy további teendőjük nincs az ügyfeleknek, azonban a legbiztonságosabb megoldás, ha mindenki a legfrissebb, tiszta kiadást telepíti.
2025, adrienne, www.bleepingcomputer.com alapján
filózó
Te hogyan döntened el, hogy megbízol-e egy ilyen fejlesztői bővítményben ezek után?
Szerinted etikus, ha egy hacker ilyen figyelmeztetésként avatkozik be egy rendszerbe?
Mit tettél volna, ha észreveszed a gyanús kódot a letöltött szoftverben?
👀 Érdemes megérteni, hogy a Johns Hopkins Egyetem kutatóinak sikerült megfejteniük, miként alakul ki az éles, központi látásunk már születésünk előtt...
🛡 Érdemes megvizsgálni, hogy a júniusi hibajavítási hullám után egy új, napvilágot látott sebezhetőség miatt ismét frissítést kellett kiadnia a Microsoftnak...
🚧 Az Egyesült Államok Közlekedésbiztonsági Hivatala most ultimátumot adott az önvezető autókat fejlesztő cégeknek: július végéig találják meg a megoldást arra, hogy a sofőr nélküli járművek ne zavarják a mentőket vészhelyzetekben...
🚨 Noha a Linux hosszú ideje az egyik legmegbízhatóbb operációs rendszerként él a köztudatban, a közelmúltban két súlyos sebezhetőség is napvilágra került, amelyek alapjaiban rengethetik meg a felhőszolgáltatók biztonságát...
🔬 A Cornell Egyetem kutatói új típusú, mikroszkopikus szilícium-dioxid nanorészecskéket fejlesztettek ki, amelyek képesek közvetlenül elpusztítani a prosztatarákos daganatokat, miközben egyidejűleg aktiválják a szervezet immunrendszerét is a rák elleni harcra...
💡 Grok 4.5 bemutatkozott, és jelentősen egyszerűsíti a bonyolult feladatok elvégzését. Kódírás, táblázatok és prezentációk készítése most egyetlen munkafolyamatba sűríthető anélkül, hogy újra és újra át kellene írni az utasításokat...
Több mint száz évvel Einstein elméletének megszületése után az asztrofizikusok ismét igazolták a nagy fizikus forradalmi gondolatát: a Föld valóban maga után húzza a téridőt, miközben kering a Nap körül...
A Samsung bemutatta első PCIe 6.0 szabványú üzleti SSD-jét, a PM1763-at, amelyet kifejezetten MI- és nagy teljesítményű számítógépes szerverekhez fejlesztettek...
💸 A Luxshare Precision Industry tőzsdei premierje csalódást okozott Hongkongban: a részvényárfolyam több mint 5 százalékot esett csütörtök reggel, annak ellenére, hogy a városban az idei év legnagyobb elsődleges nyilvános részvénykibocsátását (IPO) bonyolította le...
Újabb fordulóponthoz érkezett az MI-alapú hangkommunikáció: az OpenAI bemutatta a GPT-Live nevű megoldását, amely minden eddiginél természetesebb, párbeszédszerű beszélgetést tesz lehetővé a ChatGPT-vel...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Stack zero (iPhone/iPad)A Stack Zero alkalmazás beépített, Apple által támogatott dokumentum-szkennerével a papíralapú iratok digitalizálása rendkívül egyszerű és gyors...
🔎 A legutóbbi kiberbiztonsági vizsgálatok szerint veszélybe kerültek az amerikai és kanadai egyetemek kutatói: ismeretlen támadók gyenge pontokat fedeztek fel a Roundcube-levelezőszervereken, és ezt kihasználva fizikusokat, mérnököket, adminisztrátorokat, illetve asztrofizikával, részecskefizikával vagy nemzetbiztonsággal foglalkozó intézményeket is megcéloztak...
Otthon a tévézés már régen nem a magánszféráról szól. Az okostévék folyamatosan figyelik, mit nézel, majd ezt az adatot eladják más cégeknek, vagy éppen azért jelennek meg ugyanazok a hirdetések a telefonodon, a weben vagy a tévéden, amit előzőleg valamelyik online áruházban kerestél...
🔬 A Harvard Egyetem kutatói forradalmasítják a biotechnológiát: egy szilíciumchip már nemcsak információt dolgoz fel, hanem képes DNS-t is létrehozni...
💡 Régóta húzódó rejtély oldódott meg a kvantumfizika világában. Egy új elméleti keretrendszer először egyesíti két, egymásnak látszólag ellentmondó modellt arról, hogy miként viselkedik egy különösen szokatlan részecske a zsúfolt kvantumkörnyezetben...
Viharos nap a történelemben: pusztító földrengés Japánban, nagyhatalmi fordulatok Európában, mérföldkő a rabszolgaság felszámolásában, és modern kori sorsfordulók Dél-Szudán függetlenné válásáig...
Külön említést érdemel, hogy egy nemzetközi kutatócsoport forradalmi szimulációt dolgozott ki, amely mesterséges intelligenciát használ fel annak feltérképezésére, hogyan keletkeznek az univerzum legnehezebb elemei...
Ki gondolta volna, hogy az egyik legnépszerűbb sporttáplálék-kiegészítő nemcsak a testépítők kedvence lehet, hanem a rákkutatás egyik izgalmas eszközévé is válhat?..