空のS3バケットでAWSの請求額が爆発的に増加するとの指摘、Amazonはさっそく問題に対処すると発表

AmazonのクラウドコンピューティングサービスであるAWSが提供するストレージサービス・Amazon S3では、写真や動画などのデータをアップロードするためにバケットを作成する必要があります。このS3バケットを空の状態にしていると、AWSの請求額が爆発的に増加してしまうという問題を、ソフトウェアエンジニアのMaciej Pocwierz氏が報告しました。 How an empty S3 bucket can make your AWS bill explode | by Maciej Pocwierz | Apr, 2024 | Medium https://medium.com/@maciej.pocwierz/how-an-empty-s3-bucket-can-make-your-aws-bill-explode-934a383cb8b1 Pocwierz氏はクライアント向けに作成

[toaruR]

本質の指摘はもちろん恐ろしいけど、悪意のあるAccessDeniedの費用もユーザに来るの怖すぎる((((；ﾟДﾟ))))

[tinsep19]

S3バケットの名前を知っている人は誰でも好きなようにAWSの請求額を増やすことができる。これはつらいな。ガバクラの地方自治体のシステム標準化でバケット名の推測が容易なので早く対応してもらいたい。

[knjname]

普通にバケット名が公開されているケースなんて無数にあるよな　署名付きURLとかも大量にあるでしょ　この場合認可すらされているとも言えるし

[ohsawa0515]

S3のリクエスタ支払いに変更すれば、バケット所有者に請求されることはないはずだけどサポートがそれを提案しなかったのは何故だろう？/ (追記) 認証失敗時（403）はバケット所有者に課金されるとドキュメントにあった

[nakag0711]

リスクをユーザーに押し付けられるのいい商売だねえ…

[versatile]

これは・・・、これはやばいと思うけどなぁ。S3 直アクセスしてるシステムなんてざらにありそうだし、公開サービスでもそういうのありそうだし・・・

[tmatsuu]

日本語解説きてた。「S3バケットの名前を知っている人は誰でも好きなようにAWSの請求額を増やすことができる」ランダムなsuffixをつけてわかりにくい名前にしましょう

[l__LINE__l]

退職者は簡単に前職のサービスに打撃を与えることができる

[dorapon2000]

“◆1：S3バケットの名前を知っている人は誰でも好きなようにAWSの請求額を増やすことができる”

[deep_one]

頭がおかしい請求だな…「お客様が自分で開始していない不正なリクエストに対して料金を支払う必要はないということに私たちは同意します」直す気はあるのか。

[at_yasu]

バケット名にランダムなサフィックスを追加するとセキュリティを強化できる

[rgfx]

公開バケットに権限関係なくPUTリクエストをDDoSしたらクラウド破産させられるのか、すげー／リクエスタ支払いなバケットへのPUTリクエスト課金はどこに消えるんだろう

[fivestech]

Googleで検索すればS3のURLいくらでも出てくるけど、良い子は悪用しちゃダメだぞ☆

[R1na]

AWSはこういうのもちゃんと対応してくれるから信頼して利用できる。他のクラウドとは違う点

[sabotem]

む？「プライベートなバケットに対してもリクエスト自体は可能→1000リクエスト毎に0.005ドル課金」ということ？Presigned URL利用してユーザーから直接S3に保存させてるシステムとかはバケット名分かるし狙い撃ちされそう。

[kno]

“「はい、S3は不正なリクエストに対しても料金を請求します。それは予期された動作です」”なにそれこわい

[ustar]

空っぽの方が金詰め込める♪

[yut148]

CERTに情報あげてないのかな。>上記の通り問題のオープンソースツールの名前を開示してしまうと、影響を受ける企業がデータ漏えいの危険にさらされる可能性があるとして、Pocwierz氏はこのツールの名前を伏せています。

[rxh]

これはなかなか…

[diveintounlimit]

こええ

[sugawara1991]

現時点ではバケット名が知られるか推測可能であれば請求金額的にDDoSめいた攻撃が可能なのか

[Fushihara]

ネットでバズらせるのが一番大事って事だな