Publicación de un usuario de AWS S3, que al segundo día tuvo una factura de $1000 dólares y estaba vacía.
Al parecer, el problema radica principalmente en las llamadas al bucket, que generan un coste, pero el problema fue que este usuario creó un bucket con un nombre como “bucket-crap”, dicho nombre era el que venía por defecto en una aplicación, aparentemente muy utilizada por empresas.
Sin embargo, todo esto reveló que este servicio podría tener un grave problema, ya que podría provocar lo que ahora llaman “DoW” “Denial of Wallet”, ya que cualquier usuario malintencionado, conociendo el nombre de dicho bucket podría crear miles de llamadas a dicho bucket y generar un coste exacerbado, ya que aunque no tengas acceso a dicho bucket, las llamadas al mismo, aunque sean denegadas, generan un coste.
De hecho, yo también vi esto y hubo muchas maldiciones.\n\nDiscourse no está diseñado para ocultar el nombre del bucket de carga subyacente y en los días intermedios he estado esperando que nadie usara uno de los nuestros.\n\nLo peor es que, incluso si observas el ataque, no hay nada que puedas hacer para detenerlo."
Actualización: Los ingenieros de S3 están trabajando para que las solicitudes no autorizadas que los clientes no iniciaron no tengan costo.
Este cambio cubrirá una variedad de códigos de estado HTTP 3xx/4xx, incluidos todos los citados en el artículo. Nos estamos moviendo rápidamente y planeamos compartir más detalles esta semana.