[ad_1]
Palma de la cara: Los depósitos de Amazon S3, parte de la infraestructura de Amazon Web Services, son excelentes para almacenar y administrar grandes cantidades de datos a escala, pero también pueden convertirse en un riesgo financiero y de seguridad si se usan con configuraciones predeterminadas deficientes.
El uso de un depósito privado de AWS S3 con un nombre simple y fácil de adivinar podría convertirse rápidamente en un desastre financiero incluso para el proyecto de nube más simple. Un desarrollador llamado Maciej Pocwierz descubrió esta dura verdad mientras trabajaba en un sistema de indexación de documentos para un cliente y decidió compartir la experiencia para que todos los usuarios de la plataforma AWS estuvieran conscientes del problema.
en un publicación reciente en medio, Pocwierz dijo que creó un único depósito S3 en la región eu-west-1 de la plataforma AWS para cargar y probar algunos archivos. Solo dos días después, el desarrollador revisó la página de facturación de AWS y descubrió que ya le habían cobrado $1300. Pocwierz esperaba «obtener un buen desempeño» dentro del nivel gratuito del servicio, pero el depósito S3 registró casi 100 millones de intentos de crear nuevos archivos a través de solicitudes PUT.
Como confirmó más tarde el soporte de AWS, S3 cobra a los clientes por solicitudes entrantes legítimas y no autorizadas. Al investigar el problema, Pocwierz descubrió que una de las herramientas populares de código abierto que usaba tenía una configuración predeterminada para almacenar copias de seguridad en S3. El nombre del depósito predeterminado de la herramienta y el elegido por el desarrollador para probar su proyecto resultaron ser exactamente el mismo.
Cada una de las instancias de la herramienta mencionada anteriormente intentaba guardar archivos de respaldo en su depósito recién abierto, y Amazon facturaba en consecuencia. Pocwierz no reveló el nombre de la herramienta, ya que se habría convertido en un riesgo significativo para el número no especificado de empresas que utilizan esa misma herramienta.
El desarrollador intentó probar esta posible pesadilla de seguridad y privacidad abriendo su depósito a escrituras públicas. En solo 30 segundos, el depósito ahora grabable registró más de 10 gigabytes de datos provenientes de todos los rincones de Internet. Se puso en contacto con algunas de las empresas afectadas por el problema, pero aparentemente optaron por «ignorarlo por completo».
Pocwierz tuvo la suerte de que se cancelara la factura no deseada con la ayuda del soporte de AWS, a pesar de que la empresa confirmó que el sistema funcionaba como se esperaba. Jeff Barr, evangelista jefe de AWS dijo en X que los clientes «no deberían tener que pagar» por solicitudes de escritura no autorizadas que no iniciaron, anticipando que llegarán «en breve» algunos cambios útiles al respecto.
El desarrollador también se puso en contacto con el equipo detrás de la herramienta sin nombre y los desarrolladores decidieron cambiar la configuración predeterminada del software para solucionar el problema. También dijo que los clientes de S3 podrían mejorar significativamente la seguridad de un proyecto agregando un sufijo aleatorio a los nombres de sus depósitos.
[ad_2]
Enlace fuente
