Уязвимость, идентифицированная как CVE-2025-0693, была обнаружена в потоке входа в систему AWS Identity and Access Management (AWS IAM). Эта проблема позволяла актору перечислять имена пользователей AWS IAM, измеряя время ответа сервера во время попыток входа. Различия в времени ответа могли раскрыть, существует ли отправленное имя пользователя AWS IAM в учетной записи. Однако информация об имени пользователя сама по себе недостаточна для аутентификации или доступа к ресурсам AWS. Требуется полная аутентификация, включая идентификатор учетной записи, имя пользователя, пароль и многофакторную аутентификацию, для доступа к учетной записи. У AWS есть несколько уровней защиты для мониторинга и реагирования на потенциальное злоупотребление конечными точками входа. Аффектированные версии - поток входа в систему AWS Sign-in IAM User до 16 января 2025 года. AWS ввел задержку во времени ответа для всех сценариев неудачной аутентификации, чтобы защититься от перечисления действительных имен пользователей. Никаких действий от клиентов не требуется, и клиенты могут отслеживать активность входа с помощью AWS CloudTrail. Rhino Security Labs сотрудничала над этой проблемой через координированный процесс раскрытия уязвимостей.