Publication d’un utilisateur AWS S3, qui, le deuxième jour, a reçu une facture de 1000 dollars et celle-ci était vide.
Apparemment, le problème réside principalement dans les appels au bucket, qui créent un coût, mais le problème était que cet utilisateur a créé un bucket avec un nom comme « bucket-crap », ce nom était celui qui venait par défaut dans une application, apparemment largement utilisée par les entreprises.
Cependant, tout cela a révélé que ce service pourrait avoir un problème sérieux, car il pourrait causer ce qu’ils appellent maintenant le « DoW » « Denial of Wallet », car tout utilisateur malveillant, connaissant le nom dudit bucket, pourrait créer des milliers d’appels vers ledit bucket et créer un coût exacerbé, car même si vous n’avez pas accès audit bucket, les appels vers celui-ci, même s’ils sont refusés, génèrent un coût.
Je suppose que c’est une autre raison pour laquelle l’utilisation d’un CDN est recommandée, car elle rend plus difficile, du moins, de voir le nom du bucket.
En effet, j’ai vu cela aussi et beaucoup de jurons ont suivi.
Discourse n’est pas conçu pour masquer le nom du bucket de téléchargement sous-jacent et, dans les jours qui ont suivi, j’espérais que personne n’utiliserait l’un des nôtres.
Le pire, c’est que même si vous observez l’attaque, il n’y a rien que vous puissiez faire pour l’arrêter.
Mise à jour : Les ingénieurs S3 travaillent à rendre les requêtes non autorisées que les clients n’ont pas initiées gratuites.
Ce changement couvrira une gamme de codes d’état HTTP 3xx/4xx, y compris tous ceux cités dans l’article. Nous avançons rapidement et prévoyons de partager plus de détails cette semaine.