Postagem de um usuário do AWS S3, que no segundo dia teve uma fatura de US$ 1000 e estava vazia.
Aparentemente, o problema reside principalmente nas chamadas do bucket, que criam um custo, mas o problema foi que este usuário criou um bucket com um nome como “bucket-crap”, dito nome foi o que veio por padrão em um aplicativo, aparentemente amplamente utilizado por empresas.
No entanto, tudo isso revelou que este serviço poderia ter um sério problema, pois poderia causar o que agora chamam de “DoW” “Denial of Wallet”, já que qualquer usuário mal-intencionado, sabendo o nome de dito bucket poderia criar milhares de chamadas para dito bucket e criar um custo exacerbado, pois mesmo que você não tenha acesso a dito bucket, chamadas para ele, mesmo que negadas, geram um custo.
De fato, eu também vi isso e muitas maldições se seguiram.
O Discourse não foi projetado para obscurecer o nome do bucket de upload subjacente e, nos dias intermediários, esperava que ninguém usasse um dos nossos.
O pior é que, mesmo que você observe o ataque, não há nada que você possa fazer para pará-lo.
Atualização: Engenheiros do S3 estão trabalhando para que solicitações não autorizadas que os clientes não iniciaram sejam gratuitas.
Essa mudança cobrirá uma variedade de códigos de status HTTP 3xx/4xx, incluindo todos os citados no artigo. Estamos agindo rapidamente e planejamos compartilhar mais detalhes esta semana.