以前、GitHubで多くのユーザーが秘密鍵を公開状態にしていたことが判明という話題があったが、誤ってGitHub上で公開状態にされているAmazon Web Services(AWS)の秘密鍵を使って、不正に仮想サーバーのインスタンスを立ち上げて大量の請求を行わせたり、またユーザーの環境を操作・破壊するという攻撃が発生していることが報告されている(ITnews、slashdot)。 AWSはAPIを使って外部プログラムやスクリプトから操作が可能だが、この際に秘密鍵を使った認証を行う。逆にいうと、この秘密鍵情報が分かればユーザー名やパスワードが分からなくてもAWS上のリソースの操作が可能になってしまう。 Amazon側はこれに対し、セキュリティガイドラインに従って認証情報は注意して管理してほしいと述べている。