diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/README.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/README.md
index e5cf215e9..eef1d83c7 100644
--- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/README.md
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/README.md
@@ -10,7 +10,13 @@ Per ulteriori informazioni controlla:
 ../../aws-services/aws-lambda-enum.md
 {{#endref}}
 
-### Rubare le Richieste URL di Altri Lambda
+### Esfiltrare le credenziali di Lambda
+
+Lambda utilizza variabili di ambiente per iniettare credenziali durante l'esecuzione. Se riesci ad accedervi (leggendo `/proc/self/environ` o utilizzando la funzione vulnerabile stessa), puoi usarle tu stesso. Si trovano nei nomi delle variabili predefinite `AWS_SESSION_TOKEN`, `AWS_SECRET_ACCESS_KEY` e `AWS_ACCESS_KEY_ID`.
+
+Per impostazione predefinita, queste avranno accesso per scrivere in un gruppo di log di CloudWatch (il cui nome è memorizzato in `AWS_LAMBDA_LOG_GROUP_NAME`), oltre a creare gruppi di log arbitrari, tuttavia le funzioni lambda hanno frequentemente più permessi assegnati in base al loro utilizzo previsto.
+
+### Rubare le richieste URL di altri Lambda
 
 Se un attaccante riesce in qualche modo a ottenere RCE all'interno di un Lambda, sarà in grado di rubare le richieste HTTP di altri utenti al lambda. Se le richieste contengono informazioni sensibili (cookie, credenziali...), sarà in grado di rubarle.
 
@@ -18,7 +24,7 @@ Se un attaccante riesce in qualche modo a ottenere RCE all'interno di un Lambda,
 aws-warm-lambda-persistence.md
 {{#endref}}
 
-### Rubare le Richieste URL di Altri Lambda e Richieste di Estensioni
+### Rubare le richieste URL di altri Lambda e richieste di estensioni
 
 Abusando delle Lambda Layers è anche possibile abusare delle estensioni e persistere nel lambda, ma anche rubare e modificare le richieste.