AWS S3 ユーザーからの投稿。2日目に請求書が1000ドルで、内容は空だったとのこと。
どうやら問題は主にバケットの呼び出しにあり、それがコストを生む。しかし、このユーザーは「bucket-crap」という名前のバケットを作成した。この名前は、広く使われているアプリケーションでデフォルトで提供される名前だったようだ。
しかし、これらすべてが、このサービスに深刻な問題がある可能性を明らかにした。「DoW」(Denial of Wallet)と呼ばれるものが発生する可能性がある。悪意のあるユーザーがそのバケットの名前を知っていれば、そのバケットに何千もの呼び出しを作成し、法外なコストを生み出すことができる。たとえそのバケットにアクセスできなくても、呼び出しは拒否されたとしてもコストが発生するからだ。
詳細情報はこちら:
AWSが調査しているようです。
DiscourseサイトでアップロードにS3を使用している場合に、この問題が発生したという報告はまだ受けていないと思います。
確かに、そのようには思いませんが、予防策を講じても損はありません。
CDNの使用が推奨されるもう一つの理由、少なくともバケット名を見えにくくするという点ですね。
確かに、私もこれを見て、多くの呪いの言葉が続きました。
Discourse は、基盤となるアップロード バケット名を隠すようには設計されておらず、その間に、誰かが私たちのバケットのいずれかを使用しないことを願っていました。
最悪なのは、攻撃を観察しても、それを止めるために 何もできない ことです。
Jeff Barr氏のTwitterより: https://x.com/jeffbarr/status/1787844682216792163
更新: S3エンジニアは、お客様が開始していない不正なリクエストを無料で処理できるように取り組んでいます。
この変更は、記事で引用されているものを含む、さまざまなHTTP 3xx/4xxステータスコードを対象とします。迅速に進めており、今週中に詳細を共有する予定です。