Post di un utente AWS S3, che il secondo giorno ha ricevuto una fattura di $1000 dollari ed era vuota.
Apparentemente il problema risiede principalmente nelle chiamate al bucket, che creano un costo, ma il problema era che questo utente ha creato un bucket con un nome come “bucket-crap”, detto nome era quello che veniva di default in un’applicazione, apparentemente ampiamente utilizzata dalle aziende.
Tuttavia, tutto ciò ha rivelato che questo servizio potrebbe avere un serio problema, poiché potrebbe causare quello che ora chiamano “DoW” “Denial of Wallet”, poiché qualsiasi utente malintenzionato, conoscendo il nome di detto bucket potrebbe creare migliaia di chiamate a detto bucket e creare un costo esacerbato, perché anche se non si ha accesso a detto bucket, le chiamate ad esso, anche se negate, generano un costo.
In effetti, l’ho visto anche io e ne sono seguiti molti improperi.
Discourse non è progettato per oscurare il nome del bucket di caricamento sottostante e nei giorni intercorsi ho sperato che nessuno usasse uno dei nostri.
La cosa peggiore è che anche se osservi l’attacco, non c’è niente che tu possa fare per fermarlo.
Aggiornamento: Gli ingegneri di S3 stanno lavorando per rendere gratuite le richieste non autorizzate che i clienti non hanno avviato.
Questa modifica coprirà una serie di codici di stato HTTP 3xx/4xx, inclusi tutti quelli citati nell’articolo. Ci stiamo muovendo rapidamente e prevediamo di condividere maggiori dettagli questa settimana.