AWS Müşterisi, Açık Kaynak Aracının Yanlış Yapılandırması Nedeniyle Büyük Faturalarla Karşı Karşıya.
Şaşırtıcı bir olayda, bir AWS müşterisi, test amacıyla tek bir boş paket oluşturmasına rağmen S3 kullanımı için 1.300 dolarlık şaşırtıcı bir faturayla karşılaştı.
Suçlu? Yedeklemeleri müşterinin S3 klasöründe depolayan, varsayılan yapılandırmaya sahip popüler bir açık kaynak araç, bu da çok sayıda yetkisiz isteklere yol açıyor.
Anonim kalan müşteri, ayrıntılı bir blog gönderisinde deneyimlerini paylaşarak, yanlış yapılandırılmış araçlar ve S3 klasör adlandırma kurallarıyla ilişkili beklenmedik maliyetlere ve potansiyel güvenlik risklerine ışık tuttu.
Beklenmedik Fatura
Konsept kanıtlama belge indeksleme sistemi için eu-west-1 bölgesinde özel bir S3 klasörü oluşturduktan sonra müşteri, tek bir gün içinde gerçekleştirilen yaklaşık 100.000.000 S3 PUT isteğinin 1.300 doları aşan bir faturayla sonuçlandığını keşfettiğinde şok oldu.
Araştırmanın ardından müşteri, popüler bir açık kaynaklı aracın, yedekleri depolamak için özel S3 klasörüyle aynı klasör adını kullanan varsayılan bir yapılandırmaya sahip olduğunu keşfetti.
Sonuç olarak, bu aracın varsayılan yapılandırmayla her dağıtımı, yedeklerini müşterinin paketinde depolamaya çalıştı ve bu da çok sayıda yetkisiz istek akışına yol açtı.
AWS desteğinden gelen yanıtta müşteri, istekler reddedilse bile S3’ün yetkisiz istekler (4xx hataları) için de ücret aldığını öğrendi.
Bu, müşterinin kendi paketine yapılan milyonlarca yetkisiz isteğin ödemesinden sorumlu olduğu anlamına geliyordu.
Endişe verici bir deneyde müşteri, 30 saniye içinde 10 GB’tan fazla veri toplayarak paketini kısa süreliğine yazma için herkese açık hale getirdi.
“Popüler açık kaynak araçlarından biri, yedeklerini S3’te depolamak için varsayılan bir yapılandırmaya sahipti. Ve bir kova adı için yer tutucu olarak benim kovam için kullandığım adın aynısını kullandılar. Bu, bu aracın varsayılan yapılandırma değerlerine sahip her dağıtımında, yedeklerini S3 klasörümde saklamaya çalıştığı anlamına geliyordu! kullanıcı blog yazısı aracılığıyla bilgilendirilir.
Bu, yanlış yapılandırılmış sistemlerin istenmeyen S3 klasörlerine veri yazmaya çalışmasından kaynaklanan veri sızıntısı ve güvenlik ihlalleri potansiyelini vurguladı.
Combat Sophisticated Email Threats With AI-Powered Email Security Tool -> Try Free Demo
Dersler öğrenildi
Olay birkaç önemli dersin altını çizdi:
- Paket Adlandırma Kuralları: S3 klasör adlarına rastgele sonekler eklemek, yanlış yapılandırılmış sistemlere veya kasıtlı saldırılara karşı güvenlik açığını azaltarak güvenliği artırabilir.
- AWS Bölgelerini Belirleme: S3’e çok sayıda istek yürütülürken AWS bölgesinin açıkça belirtilmesi, S3 API yönlendirmelerinden kaynaklanan ek maliyetleri önleyebilir.
- Yetkisiz Talep Ücretleri: AWS, reddedilse bile yetkisiz istekler için ücret alır ve bu da uygun şekilde izlenmediği takdirde beklenmeyen maliyetlere yol açabilir.
Öneriler
Müşteri, sorunu güvenlik açığı bulunan açık kaynak aracın bakımcılarına bildirdi ve onlar da varsayılan yapılandırmayı derhal düzeltti. Ancak mevcut dağıtımlar yine de etkilenebilir.
AWS bilgilendirildi ancak üçüncü taraf ürünlerindeki yanlış yapılandırmaları gidermek konusunda isteksizdi. Müşteri ayrıca verileri kendi paketlerinde bulunan şirketleri bilgilendirmeye çalıştı ancak yanıt alamadı.
Sonuçta AWS, müşterinin S3 faturasını bir istisna olarak iptal etti ancak bu tür istisnaların garanti edilmediğini vurguladı.
Bu olay, AWS müşterilerinin S3 kullanımlarını dikkatle izlemeleri, güvenli paket adlandırma kurallarını uygulamaları ve yanlış yapılandırılmış araçlar ve yetkisiz isteklerle ilişkili potansiyel maliyetler ve güvenlik risklerinin farkında olmaları konusunda uyarıcı bir hikayedir.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide