8 грудня провідний хмарний провайдер (ім’я не розголошується з міркувань безпеки) терміново відключив частину своїх Serverless-послуг через виявлення критичної архітектурної вразливості “ServerlessBleed”. Баг дозволяв шкідливій функції, запущеній одним клієнтом, отримувати доступ до оперативної пам’яті функцій інших клієнтів, які виконувалися на тому ж фізичному сервері. Це призвело до витоку API-ключів, паролів до баз даних та фрагментів пропрієтарного коду.

Вразливість існувала через помилку в механізмі ізоляції “мікро-віртуальних машин”, які використовуються для запуску коду за вимогою. Хоча провайдер заявляє, що вразливість була ліквідована за 4 години, аналітики припускають, що зловмисники могли непомітно збирати дані протягом кількох тижнів. Компаніям, що використовують безсерверну архітектуру (FaaS), рекомендовано негайно ротувати (змінити) всі секретні ключі, які використовувалися у хмарних функціях.