Quel pasticciaccio brutto dei bucket S3 su AWS: si paga (caro) anche per le richieste di accesso negate
di Riccardo Robecchi pubblicata il 02 Maggio 2024, alle 18:21 nel canale CloudScoppia un caso legato ai bucket su AWS S3: uno sviluppatore polacco si è visto addebitare oltre 1.200€ per via di una coincidenza che ha portato a moltissime richieste (negate) di accesso al bucket stesso. AWS cambierà tale pratica, pare
Le richieste di accesso ai bucket nel servizio AWS S3 portano l'intestatario a pagare cifre che possono diventare molto elevate, anche quando queste richieste vengono negate, con risvolti importanti per l'uso improprio che può sfociare in veri e propri attacchi. Questa la scoperta di Maciej Pocwierz, sviluppatore polacco che si è trovato con una bolletta di oltre 1.200€ dopo aver scelto, per puro caso, di dare al proprio bucket su S3 un nome usato anche nella configurazione d'esempio di un progetto open source. La causa sta nel fatto che AWS ha finora fatturato anche gli accessi negati alle risorse ospitate in S3. Un problema che verrà forse risolto dopo l'attenzione che questo caso ha generato.
Problemi con AWS S3: il nome di un bucket può portare a bollette salate
Come spiega sul suo blog, Pocwierz ha cominciato qualche settimana fa a lavorare con un bucket S3 nella regione eu-west-1 di AWS, lasciandolo vuoto. I bucket sono contenitori (letteralmente "secchi") sul servizio di archiviazione S3 e possono contenere file e oggetti; sono spesso usati per archiviare grandi quantità di dati, in particolare in ambito aziendale.
Due giorni dopo averlo creato, lo sviluppatore ha controllato il proprio bucket, scoprendo che la bolletta era arrivata a 1.300$ (poco più di 1.200€ al cambio attuale). La ragione sta nel fatto che aveva scelto, non senza una certa sfortuna, un nome per il bucket usato anche da un progetto open source come valore predefinito che dev'essere sostituito in fase di installazione. Moltissimi hanno però lasciato tale nome inalterato, con il risultato che il bucket di Pocwierz è stato inondato di richieste.
Nonostante siano state rifiutate, perché gli utenti che tentavano di accedere (inconsapevolmente) al bucket non avevano il permesso di farlo, tali richieste sono state addebitate a Pocwierz. Si tratta, come l'assistenza dell'azienda gli ha confermato, della norma: vengono addebitate anche le richieste rifiutate, indipendentemente dal fatto che un utente possa non avere alcun controllo su di esse.
Il problema di questo approccio, come riportano molti sviluppatori e sistemisti in Rete, è che non c'è una reale difesa. Scegliere un nome non facilmente individuabile per i bucket è sicuramente una buona pratica, ma non protegge dal fatto che un malintenzionato che lo scopra può comunque bombardare il bucket di richieste e portare così a fatture molto elevate.
Pocwierz ha fatto notare anche come in questo caso specifico ci sia un problema di sicurezza dei dati: dal momento che il nome del suo bucket è quello usato su moltissime installazioni dello strumento open source, aprendo il bucket alle scritture da chiunque ha potuto raccogliere in pochi minuti circa 10 GB di dati provenienti da utenti ignari che avevano mantenuto il nome predefinito del bucket. Non si tratta di un problema nel servizio di AWS in quanto tale, ma di un problema generale nella gestione dei valori predefiniti; certo è che, viste le politiche di AWS, l'opzione di creare un bucket inaccessibile con lo stesso nome di quello nella documentazione diventa una strada non percorribile. Questo aspetto della sicurezza resta comunque teorico, perché non sono a oggi noti attacchi di questo tipo.
Thank you to everyone who brought this article to our attention. We agree that customers should not have to pay for unauthorized requests that they did not initiate. We’ll have more to share on exactly how we’ll help prevent these charges shortly.#AWS #S3
— Jeff Barr ☁️ (@jeffbarr) April 30, 2024
How an empty S3…
Questa vicenda ha scatenato un forte dibattito, che ha portato Jeff Barr, Chief Evangelist presso AWS, a confermare su Twitter/X come l'azienda stia lavorando per cambiare questo meccanismo, per quanto non siano state date tempistiche certe per l'intervento. Non è chiaro nemmeno se l'azienda deciderà di rendere non disponibile il nome del bucket affetto dal problema: per quanto Pocwierz abbia deciso di eliminare il suo, rimane la possibilità che qualcun altro ne apra uno e possa così raccogliere i dati inviati dallo strumento open source.
Abbiamo fatto richiesta all'ufficio stampa di ulteriori dettagli, ma al momento non ve n'è oltre al tweet di Barr, che ci è stato indicato: c'è solo la promessa che riceveremo eventuali aggiornamenti in futuro.
13 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infosemmai il contrario, per una volta tanto che si cita (anche se fuori luogo) un po' di cultura
[u]https://it.wikipedia.org/wiki/Quer_pasticciaccio_brutto_de_via_Merulana[/u]
ho visto il film di Germi alcuni anni fa ripromettendomi di leggere il libro ma poi complici i problemi della vita e la vecchiaia me ne ero completamente dimenticato
ciao ciao
Cioè, fatemi capire, si può creare un bucket con un nome già esistente e perlopiù vedo il contenuto degli altri bucket con lo stesso nome ?
Come ha fatto notare aled1974, è una citazione, peraltro non esattamente da "figli dei bimbominkia". Capisco che non sia da tutti coglierla, ma bastava una veloce ricerca.
Chiedo anticipatamente perdono per l'ineleganza; non posso esimermi però dal far notare che, quando si fa una critica come quella sopra, bisognerebbe risultare ineccepibili, tanto nella forma quanto nel contenuto, ma non è questo il caso. Ci rivediamo a settembre.
Devo anche io leggere il libro: credo che lo terrò come lettura per l'estate...
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".