Корзина хранилища AWS S3 с неудачным названием чуть не обошлась разработчику в 1300 долларов

Корзина хранилища AWS S3 с неудачным названием чуть не обошлась разработчику в 1300 долларов


Корзина хранилища AWS S3 с неудачным названием чуть не обошлась разработчику в 1300 долларов

Как поклонник технологий и человек, которому не раз приходилось сталкиваться с неожиданными счетами, я не могу не сочувствовать Мацею Поцвежу. Его опыт является ярким напоминанием о том, насколько важно выбирать уникальные и безопасные имена для наших корзин AWS S3.


Если вы используете веб-службы Amazon и ваша корзина хранилища S3 общедоступна, рекомендуется выбрать отличительное имя для этого пространства вместо использования общих или легко угадываемых меток, таких как «пример», «изменить\_me» или обычных заполнителей. например «фу» или «бар». Необдуманный выбор другого пользователя с похожими привычками именования может привести к нежелательным расходам, равным стоимости MacBook.

Мацей Поцверж обнаружил неожиданную проблему после выбора имени S3 для конфигурации резервного копирования проекта с помощью широко используемого инструмента с открытым исходным кодом. После настройки корзины он позже проверил свою выписку по счетам и был шокирован, обнаружив более 100 миллионов несанкционированных попыток создания новых файлов в течение одного дня, в результате чего счет составил более 1300 долларов.

Корзина хранилища AWS S3 с неудачным названием чуть не обошлась разработчику в 1300 долларов

В своем сообщении в чате Поцверж описал неожиданный поворот событий. Он заверил своего клиента, что стоимость услуг AWS будет минимальной — около 20 долларов в месяц. Однако всего через несколько дней он оказался в необычной ситуации, когда расходы значительно превысили эту оценку. Другими словами, он предсказал низкую цену, но в итоге ему пришлось столкнуться с неожиданно высокими расходами. Это обстоятельство сделало его менее осведомленным в глазах клиента.

Поцверц отказался раскрыть информацию о программном обеспечении с открытым исходным кодом, которое случайно проникло в его учетную запись S3. В статье на Medium, посвященной этому инциденту, он выделил еще одну проблему, связанную с неудачными настройками резервного копирования по умолчанию. Включив публичный доступ для записи, он был ошеломлен, поскольку менее чем за тридцать секунд было накоплено более 10 ГБ данных, причем все они принадлежали другим людям без их ведома.

Я заметил, что некоторая информация, о которой идет речь, исходила от предприятий, чьи клиенты были вовлечены в это дело. Это объяснение объясняет, почему Поцвир предпочел не раскрывать деталей. В своем общении с Ars он сообщил, что обращался к некоторым предприятиям, которые пытались или успешно перенесли свои данные в его корзину. Однако эти компании не отреагировали на его попытки урегулировать ситуацию. Следовательно, вместо того, чтобы принять меры, их данные продолжают оставаться уязвимыми. Мой личный вывод из этого опыта таков: если бы мне в будущем пришлось управлять компанией, я обязательно учредлю программу вознаграждений за обнаружение ошибок и буду уделять должное внимание таким оповещениям.

С моей точки зрения как аналитика, Поцвир поделился, что его опыт работы с AWS, особенно в отношении счетов S3 и банка, завершился положительно. Представитель AWS связался с ним через LinkedIn, чтобы отменить счет. Представитель отметил, что возмещение может быть запрошено за необоснованные чрезмерные запросы. Однако было уточнено, что одобрение не гарантировано. Поцвир в своей статье на Medium подчеркнул, что AWS считает это действие исключением.

В ответ на историю Поцвежа Джефф Барр, главный евангелист Amazon Web Services (AWS) в Amazon, выразил согласие с тем, что клиенты не должны нести расходы за необоснованные запросы, которые они не инициировали. Он намекнул, что AWS вскоре раскроет способы предотвращения подобных случаев, заявив: «В ближайшее время мы расскажем об этом подробнее». Для получения дополнительной информации о непредвиденных платежах AWS вы можете просмотреть их краткое объяснение и страницу контактов.

Как аналитик, я заметил, что инструмент с открытым исходным кодом изменил свои стандартные настройки после моего взаимодействия с ним, особенно после моего контакта. В своем общении с AWS я выступал за ограничение на создание одинаковых имен корзин, чтобы другие не могли нести потенциальные расходы, аналогичные моим. Однако ответа на это предложение я так и не получил. В своем недавнем сообщении в блоге я рекомендую добавить случайный суффикс и явно указать регион AWS в качестве эффективной меры против неожиданных обвинений, помимо простого совпадения или невезения.

Смотрите также

2024-04-30 23:25