Hacker News Digest

Тег: #hipaa

Постов: 2

AWS in 2025: Stuff you think you know that's now wrong (lastweekinaws.com) 🔥 Горячее 💬 Длинная дискуссия

  • EC2

    • Менять IAM-роли и security-groups можно без остановки инстанса.
    • EBS можно расширять, подключать и отключать «на горячую».
    • Принудительный stop/terminate без ожидания таймаута.
    • Live-migration между хостами почти убрала деградацию инстансов.
    • Надёжность выросла: «исчезновение» инстансов стало редкостью.
    • Spot-рынок стал стабильнее, без аукционов.
    • Dedicated Instances почти не нужны — даже для HIPAA.
    • AMI Block Public Access включён по умолчанию.

  • S3

    • Стал строго согласованным (read-after-write).
    • Не нужно рандомить префиксы ключей для равномерного распределения.
    • ACL устарели и отключены по умолчанию.
    • Block Public Access включён на новых бакетах.
    • Шифрование покоя включено по умолчанию.

by keithly • 20 августа 2025 г. в 15:30 • 289 points

ОригиналHN

#aws#ec2#s3#iam#ebs#hipaa#serverless#route53#nat-gateway#transit-gateway

Комментарии (180)

  • AWS теперь по умолчанию блокирует публичный доступ к новым S3-бакетам; это снижает утечки, но усложняет легитимное открытие доступа.
  • Пользователи обсуждают, что многие «улучшения» AWS — это просто исправление первоначально неудобных решений, и это влияет на репутацию.
  • По-прежнему спорны детали: нужно ли случайное префиксирование ключей S3, почему NAT Gateway взимается за трафик внутри одного региона и почему Transit Gateway дороже peering.
  • Некоторые разработчели «деградируют» от сложных serverless-стеков к простым EC2 + S3 + Route 53 ради простоты и экономии времени на IAM.
  • Участники просят ежегодные сводки изменений и жалуются на ослабление платной поддержки AWS.

Copilot broke audit logs, but Microsoft won't tell customers (pistachioapp.com) 🔥 Горячее 💬 Длинная дискуссия

Уязвимость Copilot: доступ к файлам без записи в журнал аудита
Автор: Zack Korman, 19.08.2025

Суть проблемы

M365 Copilot может читать файлы и не фиксировать это в журнале аудита, если попросить «не давать ссылку на файл». Это позволяет скрытно скачивать данные, нарушая безопасность и требования к соответствию.

Как обнаружил

Исследуя логику аудита для новой функции Pistachio, автор заметил пропуски в журнале. Проверка показала: достаточно добавить фразу «без ссылки» — запись исчезает. Это может произойти случайно, поэтому у многих организаций журналы уже искажены.

Реакция Microsoft

  • Уязвимость признали «важной» и исправили.
  • Клиентов не уведомили; официального бюллетеня нет.
  • Процесс MSRC занял 45 дней, ответы были формальными, без деталей.

Вывод

Журналы аудита M365 Copilot ненадёжны, а Microsoft не планирует информировать пользователей. Организациям стоит перепроверить свои логи и усилить контроль доступа к чувствительным данным.

by Sayrus • 20 августа 2025 г. в 00:18 • 690 points

ОригиналHN

#copilot#microsoft#m365#audit-logs#security#privilege-escalation#confused-deputy#hipaa#data-leakage

Комментарии (258)

  • Copilot читает индексированные данные от имени привилегированного сервиса, поэтому не фиксирует в журнале доступ к самому файлу.
  • Это приводит к утечкам: пользователь видит содержимое, но в аудите нет записи о нарушении прав.
  • Исправление Microsoft ограничилось «автоматическим обновлением» без CVE и без изменения архитектуры.
  • Участники считают проблему классической «confused deputy» и указывают, что фильтрация по правам в векторной БД вполне масштабируется.
  • Советуют подключить Legal/Compliance и готовиться к регуляторным разбирательствам, особенно в HIPAA-окружении.