Tom Forbes นักพัฒนาซอฟต์แวร์จากสหราชอาณาจักรเขียนโปรแกรมสแกนแพ็กเกจบน PyPI, HexPM, และ RubyGems เพื่อหากุญแจ AWS เองแล้วนำไปแจ้ง AWS ให้ยกเลิกกุญแจเสีย โดยตั้งระบบอัตโนมัติผ่านทาง GitHub Actions เอาไว้ หลังจากสแกนไปได้ระยะหนึ่งก็พบว่ามีแพ็กเกจที่ทำกุญแจหลุดไปถึง 57 แพ็กเกจ

กุญแจ AWS ทั้ง 57 รายการแบ่งตามประเภทเป็นกุญแจ Root 11 รายการ, กุญแจระดับผู้ใช้ 18 รายการ, และกุญแจระดับ Service อีก 22 รายการ (Forbes ไม่ระบุว่าทำไมแบ่งตามประเภทแล้วไม่ครบ 57 รายการ) กุญแจตัวหนึ่งถูกอัปโหลดไว้ใน PyPI ตั้งแต่ปี 2013 หรือเกือบสิบปีแล้ว

สาเหตุที่กุญแจหลุดมีต่างๆ กันไป เช่น Terradata ทำกุญแจหลุดเพราะมีไฟล์ debug หลุดเข้ามาในไฟล์ .egg สำหรับแพลตฟอร์มหนึ่งซึ่งน่าจะเป็นอุบัติเหตุระหว่าง build โดยในซอร์สโค้ดไม่มีกุญแจแต่อย่างใด หรือแพ็กเกจ Amazon Pay นั้นนักพัฒนาเผลอใส่ integration test ที่มีกุญแจ AWS เข้ามาในแพ็กเกจด้วย โดยใน 57 รายการที่กุญแจหลุด มี 12 รายการที่หลุดจากการทำเทส อย่างไรก็ดี กุญแจบางตัวที่หลุดออกมาไม่ได้เป็นภัยร้ายแรง บางแพ็กเกจใช้กุญแจ AWS ที่มีสิทธิ์เขียนอย่างเดียวเพื่อส่งไฟล์กลับผู้พัฒนา

ที่มา – Tom Forbes

กุญแจ AWS ที่หลุดจากแพ็กเกจ Amazon Pay