AWS S3 和创建后第二天出现的超过$1000美元的账单

一位 AWS S3 用户发帖称，他在第二天收到一张 1000 美元的账单，但账单是空的。
Apparently the problem lies mainly in the bucket calls, which create a cost, but the problem was that this user created a bucket with a name like “bucket-crap”, said name was the one that came by default in an application, apparently widely used by companies.
然而，这一切都揭示了这项服务可能存在一个严重的问题，因为它可能导致现在所谓的“DoW”（“钱包拒绝”），因为任何恶意用户，只要知道该存储桶的名称，就可以对该存储桶进行数千次调用。并产生高昂的费用，因为即使您无权访问该存储桶，对其进行调用（即使被拒绝）也会产生费用。

详细信息请参阅：

AWS 似乎正在调查此事：

我不认为我们收到过关于使用 S3 进行上传的 Discourse 网站发生这种情况的报告。

确实，我不认为事实如此，但采取一些预防措施总没有坏处。

这也许是推荐使用 CDN 的另一个原因，因为它至少使得查看存储桶名称更加困难。

确实，我也看到了这个情况，并引发了很多抱怨。

Discourse 的设计初衷并非隐藏底层的上传存储桶名称，在此期间我一直希望没有人会使用我们的存储桶。

最糟糕的是，即使你发现了攻击，也 无能为力阻止它。

通过 Jeff Barr 在 Twitter 上发布的消息：https://x.com/jeffbarr/status/1787844682216792163

更新：S3 工程师正在努力使客户未发起的未经授权的请求免费。

此更改将涵盖一系列 HTTP 3xx/4xx 状态码，包括文章中引用的所有状态码。我们正在迅速推进，并计划在本周分享更多细节。