一位用户发帖称其AWS账户在AWS服务中断后被入侵，引发了对AWS安全性的讨论。该帖获得100点赞，有28条评论。

用户遭遇AWS服务中断后账户被入侵事件

事件概述

一位用户在AWS服务中断后遭遇账户入侵，短时间内被创建了600个EC2实例。攻击者还进行了域名验证、请求提高SES配额等操作。用户怀疑可能通过API密钥或未启用MFA的控制台访问漏洞入侵。

其他用户报告

• 有用户反映两个五年未使用的旧IAM账户突然出现登录活动，攻击者仅申请了SES生产权限和邮件限额提升。
• 有观点认为可能是钓鱼攻击：攻击者利用AWS中断通知诱导用户登录恶意页面。
• 有用户推测攻击者可能早已获取凭证，等待AWS故障时趁乱行动。

技术细节

• 建议通过CloudTrail日志检查RunInstances等关键事件，追踪资源创建者。
• 攻击者创建了20个组织、跨16-17个区域部署资源，并申请了非常用服务的配额提升（如SageMaker）。
• 有用户三年前在Reddit报告过类似事件，攻击模式高度自动化。

安全建议

1. 优先检查IAM异常活动（如旧账户登录、权限变更）。
2. 确保使用书签登录AWS，避免点击邮件链接。
3. 若确认入侵，建议联系专业安全团队和AWS支持，并通知保险公司。

争议性观点

• 有用户称故障期间短暂登录到他人账户，类似ChatGPT此前漏洞，但未提供确凿证据。
• AWS官方尚未确认中断与入侵存在关联，多数观点倾向于是巧合或攻击者借机制造混乱。

（注：已过滤界面导航、重复讨论及无关的技术文档链接）

以下是评论内容的总结，平衡呈现不同观点：

1. 认为可能是巧合的观点

   • "Sounds like a coincidence to me"（klysm）
   • "Highly likely to be coincidence. Typically an exposed access key."（yfiapo）

2. 怀疑与AWS故障期间的操作失误有关

   • "Any chance you did something crazy while troubleshooting downtime?"（bdcravens）
   • "Not uncommon that machines get exposed during trouble-shooting."（AtNightWeCode）

3. 提出可能是黑客利用混乱时机的策略

   • "Is it possible that people who already managed to get access... waiting for any hiccups in AWS infrastructure?"（CaptainOfCoit）
   • "If I was a burgler holding a stolen key... a city-wide blackout would probably feel like a good day."（geor9e）

4. 强调需要进一步调查

   • "Cloudtrail events should be able to demonstrate WHAT created the EC2s."（ThreatSystems）
   • "I'm investigating the extent of the compromise..."（timdev2）

5. 担忧潜在的重大安全漏洞

   • "If it is related... that would be a catastrophic breach of customer trust."（itsnowandnever）
   • "Lot of keys and passwords being panic entered on insecure laptops yesterday."（brador）

总结：评论中既有认为事件纯属巧合的观点，也有怀疑与操作失误或黑客利用AWS故障时机相关的推测，同时强调了通过日志调查和警惕恶意软件的重要性。部分用户对潜在的安全信任危机表示担忧。