Eine Sicherheitslücke, als CVE-2025-0693 identifiziert, wurde im AWS Identity and Access Management (AWS IAM) Anmeldeprozess entdeckt. Dieses Problem ermöglichte es einem Angreifer, AWS IAM-Benutzernamen aufzulisten, indem die Server-Antwortzeiten während Anmeldeversuchen gemessen wurden. Variationen in den Antwortzeiten konnten aufdecken, ob ein übermittelter AWS IAM-Benutzername im Konto existierte. Allerdings reichen Benutzernameninformationen allein nicht aus, um sich zu authentifizieren oder auf AWS-Ressourcen zuzugreifen. Für den vollständigen Zugriff auf ein Konto ist eine vollständige Authentifizierung erforderlich, einschließlich Kontokennung, Benutzername, Passwort und Multi-Faktor-Authentifizierung. AWS verfügt über mehrere Schutzschichten, um potenziellen Missbrauch von Anmelde-Endpunkten zu überwachen und darauf zu reagieren. Betroffen sind Versionen des AWS Sign-in IAM-Benutzeranmeldeprozesses vor dem 16. Januar 2025. AWS hat eine Verzögerung der Antwortzeiten bei allen Authentifizierungsfehlern eingeführt, um vor der Auflistung gültiger Benutzernamen zu schützen. Es sind keine Maßnahmen seitens der Kunden erforderlich, und Kunden können die Anmeldeaktivitäten mithilfe von AWS CloudTrail überwachen. Rhino Security Labs hat im Rahmen eines koordinierten Prozesses zur Offenlegung von Sicherheitslücken bei der Behebung dieses Problems mitgewirkt.