Quel pasticciaccio brutto dei bucket S3 su AWS: si paga (caro) anche per le richieste di accesso negate

Le richieste di accesso ai bucket nel servizio AWS S3 portano l'intestatario a pagare cifre che possono diventare molto elevate, anche quando queste richieste vengono negate, con risvolti importanti per l'uso improprio che può sfociare in veri e propri attacchi. Questa la scoperta di Maciej Pocwierz, sviluppatore polacco che si è trovato con una bolletta di oltre 1.200€ dopo aver scelto, per puro caso, di dare al proprio bucket su S3 un nome usato anche nella configurazione d'esempio di un progetto open source. La causa sta nel fatto che AWS ha finora fatturato anche gli accessi negati alle risorse ospitate in S3. Un problema che verrà forse risolto dopo l'attenzione che questo caso ha generato.

Problemi con AWS S3: il nome di un bucket può portare a bollette salate

Come spiega sul suo blog, Pocwierz ha cominciato qualche settimana fa a lavorare con un bucket S3 nella regione eu-west-1 di AWS, lasciandolo vuoto. I bucket sono contenitori (letteralmente "secchi") sul servizio di archiviazione S3 e possono contenere file e oggetti; sono spesso usati per archiviare grandi quantità di dati, in particolare in ambito aziendale.

Due giorni dopo averlo creato, lo sviluppatore ha controllato il proprio bucket, scoprendo che la bolletta era arrivata a 1.300$ (poco più di 1.200€ al cambio attuale). La ragione sta nel fatto che aveva scelto, non senza una certa sfortuna, un nome per il bucket usato anche da un progetto open source come valore predefinito che dev'essere sostituito in fase di installazione. Moltissimi hanno però lasciato tale nome inalterato, con il risultato che il bucket di Pocwierz è stato inondato di richieste.

Nonostante siano state rifiutate, perché gli utenti che tentavano di accedere (inconsapevolmente) al bucket non avevano il permesso di farlo, tali richieste sono state addebitate a Pocwierz. Si tratta, come l'assistenza dell'azienda gli ha confermato, della norma: vengono addebitate anche le richieste rifiutate, indipendentemente dal fatto che un utente possa non avere alcun controllo su di esse.

Il problema di questo approccio, come riportano molti sviluppatori e sistemisti in Rete, è che non c'è una reale difesa. Scegliere un nome non facilmente individuabile per i bucket è sicuramente una buona pratica, ma non protegge dal fatto che un malintenzionato che lo scopra può comunque bombardare il bucket di richieste e portare così a fatture molto elevate.

Pocwierz ha fatto notare anche come in questo caso specifico ci sia un problema di sicurezza dei dati: dal momento che il nome del suo bucket è quello usato su moltissime installazioni dello strumento open source, aprendo il bucket alle scritture da chiunque ha potuto raccogliere in pochi minuti circa 10 GB di dati provenienti da utenti ignari che avevano mantenuto il nome predefinito del bucket. Non si tratta di un problema nel servizio di AWS in quanto tale, ma di un problema generale nella gestione dei valori predefiniti; certo è che, viste le politiche di AWS, l'opzione di creare un bucket inaccessibile con lo stesso nome di quello nella documentazione diventa una strada non percorribile. Questo aspetto della sicurezza resta comunque teorico, perché non sono a oggi noti attacchi di questo tipo.

Thank you to everyone who brought this article to our attention. We agree that customers should not have to pay for unauthorized requests that they did not initiate. We’ll have more to share on exactly how we’ll help prevent these charges shortly.#AWS #S3

How an empty S3…

— Jeff Barr ☁️ (@jeffbarr) April 30, 2024

Questa vicenda ha scatenato un forte dibattito, che ha portato Jeff Barr, Chief Evangelist presso AWS, a confermare su Twitter/X come l'azienda stia lavorando per cambiare questo meccanismo, per quanto non siano state date tempistiche certe per l'intervento. Non è chiaro nemmeno se l'azienda deciderà di rendere non disponibile il nome del bucket affetto dal problema: per quanto Pocwierz abbia deciso di eliminare il suo, rimane la possibilità che qualcun altro ne apra uno e possa così raccogliere i dati inviati dallo strumento open source.

Abbiamo fatto richiesta all'ufficio stampa di ulteriori dettagli, ma al momento non ve n'è oltre al tweet di Barr, che ci è stato indicato: c'è solo la promessa che riceveremo eventuali aggiornamenti in futuro.